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Verfahren und Anordnung zur mobilen DatenQbertragung 


Die vorliegende Erfindung betrifft ein Verfahren zum Obertragen von Daten zwischen einer 
mobilen ersten Einrichtung, insbesondere einem Fahrzeug, und einer von der ersten Einrich- 
tung zumindest zeitweise entfernten Datenzentrale, wobei die Obertragung der Daten Ober 
5 wenigstens eine mobile erste Obertragungseinrichtung erfolgt. Sie betrifft weiterhin eine ent- 
sprechende Anordnung zum Obertragen von Daten. 

Ein solches gattungsgema&es Verfahren ist beispielsweise aus dem Bereich der Schienen- 
^^^/erkehrstechnik bekannt. Dort werden zwischen dem Steuerrechner des Zuges Ober eine 
^jPHamit verbundene entsprechende Sender/Empfangereinheit des Zuges Daten mit einer ex- 
10 ternen Zugleitstelle ausgetauscht. Sofern es sich bei den ausgetauschten Daten urn sicher- 

heitsrelevante Daten handelt, wird durch entsprechend redundante Obertragungsprotokolle 

eine fehlerfreie Obertragung der die Daten repr£sentierenden Signale sichergestellt bzw. 

werden nur solche Signale akzeptiert, deren Fehlerwahrscheinlichkeit innerhaib bestimmter 

Toieranzgrenzen liegt 

is Ein Nachteil dieser bekannten Verfahren liegt darin, dass eine Absicherung der durch die 
Signale reprasentierten Daten gegen Manipulationen in der Regel nicht stattfindet. Bei der 
Obertragung der Daten zwischen dem Fahrzeug und der Datenzentrale kdnnte es somit 
problemlos zu wissentlichen und willentlichen Manipulationen kommen. Dies ist insbesonde- 

• dann von Nachteil, wenn diese Daten sicherheitsrelevante erste Daten umfassen. Urn hier 
anipulationen vorzubeugen, ware es wQnschenswert, eine entsprechende Absicherung 
solcher sicherheitsrelevanter erster Daten und damit einen Manipulationsschutz zu erzielen. 

Weiterhin w§re es wQnschenswert, das bekannte Verfahren auch in anderen Bereichen ein- 
setzen zu kQnnen. Insbesondere wSre es wQnschenswert, ein solches Verfahren bei der 0- 
berwachung anderer mobiler Einrichtungen einzusetzen. Hierzu zahlt insbesondere die 0- 
25 benwachung von gemieteten oder geleasten Fahrzeugen. Gerade hier stellt sich aber wieder 
das Problem, dass die Qbertragenen Daten, gerade wenn sie beispielsweise abrechnungsre- 
levante und damit sicherheitsrelevante erste Daten umfassen, mit dem bekannten Daten- 
Qbertragungsverfahren vergleichsweise anfailig fQr Manipulationen sind. 
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Der vorliegenden Erfindung liegt daher die Aufgabe zu Grunde, ein Verfahren bzw. eine An- 
ordnung der eingangs genannten Art zur VerfQgung zu stellen, welches bzw. welche die o- 
ben genannten Nachteile nicht oder zumindest in geringerem Mali aufweist und, insbesonde- 
re bei der Obertragung, einen erhdhten Manipulationsschutz sicherheitsrelevanter Daten 
5 gewahrleistet. 

Die vorliegende Erfindung lost diese Aufgabe ausgehend von einem Verfahren gem£(i dem 
Oberbegriff des Anspruchs 1 durch die im kennzeichnenden Teil des Anspruchs 1 angege- 
benen Merkmale. Sie lost diese Aufgabe weiterhin ausgehend von einer Anordnung gemaft 
dem Oberbegriff des Anspruchs 17 durch die im kennzeichnenden Teil des Anspruchs 17 
10 angegebenen Merkmale. 

•Der vorliegenden Erfindung liegt die technische Lehre zu Grunde, dass man einen erhShten 
Manipulationsschutz sicherheitsrelevanter erster Daten erzielt, wenn die ubertragenen ersten 
Daten durch kryptographische Mittel authentifiziert werden. Die Authentifizierung bringt den 
Vorteil mit sich, dass auch zu einem spateren Zeitpunkt durch ein entsprechendes Verifizie- 
15 rungsverfahren zweifelsfrei nachgewiesen werden kann, dass die Daten wahrend der Ober- 
tragung oder gegebenenfalls auch spater nicht manipuliert wurden. 


Die Authentifizierung durch kryptographische Mittel kann in beliebiger bekannter Weise er- 
folgen. So kann beispielsweise ein so genannter Message Authentication Code (MAC) ver- 
wendet werden. Ein solcher MAC wird in der Regel unter Verwendung eines so genannten 
20 geteilten Geheimnisses, in der Regel eines geheimen SchlDssels generiert, der sowohl der 
den MAC erzeugenden Einheit als auch der den MAC verifizierenden Einheit bekannt ist t 

•nsonsten aber geheim gehalten wird. Die zu authentifizierenden Daten werden zusammen 
lit dem geheimen Schliissel einem Berechnungsalgorithmus zugefQhrt, der hieraus den 
MAC generiert. Der Berechnungsalgorithmus ist so ausgebildet, dass der MAC ohne Kennt- 
25 nis des geheimen SchlDssels ohne Dbermaliig hohen Berechnungsaufwand nicht aus den zu 
authentifizierenden Daten rekonstruiert werden kann. Oblicherweise schlielit der Berech- 
nungsalgorithmus einen so genannten Hash-Algorithmus (z. B. SHA-1, SHA-2, MD5 etc.) 
ein. Zur Verifizierung des MAC wird seitens der verifizierenden Einheit aus den zu authentifi- 
zierenden Daten zusammen mit dem geheimen Schldssel unter Verwendung des selben 
30 Berechnungsalgorithmus ein zweiter MAC gebildet, der dann mit dem MAC verglichen wird, 
der den zu authentifizierenden Daten zugeordnet ist. Stimmen diese Qberein, sind die Daten 
authentisch. 


Wegen der einfacheren Verwaltung der verwendeten kryptographischen SchlQssel, insbe- 
sondere der einfacheren Verteilung der Sffentlichen SchlQssel, beispielsweise im Rahmen 
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einer so genannten Public Key Infrastruktur (PK1), werden zur Authentifizierung der Daten 
vorzugsweise digitale Signaturen verwendet. Hierbei verschlQsselt die Einheit, welche die 
digitale Signatur erzeugt, die zu authentifizierenden Daten oder einen daraus generierten 
Wert mit einem privaten Schlussel, der in der Regel nur ihr bekannt ist. Urn die den zu au- 

5 thentifizierenden Daten zugeordnete Signatur zu verifizieren und damit die Authentizitat der 
Daten zu QberprQfen, entschlusselt die verifizierende Einheit die Signatur mit einem ihr be- 
kannten Sffentlichen Schlussel, der dem privaten SchlQssel zugeordnet ist. Das Ergebnis der 
EntschlQsselung wird dann mit den zu authentifizierenden Daten oder einem Wert, der dar- 
aus nach dem bei der VerschlQsselung verwendeten Algorithmus generiert wurde. Stimmen 

10 diese Qberein, sind die Daten authentisch. 

Bei den zu authentifizierenden ersten Daten kann es sich grundsStzlich urn beliebige Daten 

•handeln. So kann es sich urn beliebige Daten handeln, die von entsprechenden Einrichtun- 
^en der ersten Einrichtung bzw. der Datenzentrale erfasst oder generiert wurden. Insbeson- 
dere kann es sich urn beliebige Daten handeln, die von entsprechenden Erfassungseinrich- 
15 tungen der mobilen ersten Einrichtung erfasst wurden. Hierzu zahlen unter anderem beliebi- 
ge Messdaten, die Qber beliebige Messeinrichtungen gemessen wurden. 

Vorzugsweise wird zusammen mit diesen Daten auch ihre jeweilige Quelle authentifiziert. 
Hierzu ist bevorzugt vorgesehen, dass die ersten Daten zur Authentifizierung einer ersten 
Quelle der ersten Daten wenigstens eine erste Quellenidentifikation umfassen. Diese erste 
20 Quellenidentifikation ist der ersten Quelle bevorzugt eindeutig zugeordnet Es handelt sich 
vorzugsweise urn eine einmalige und eindeutige Identifikation. Bei der ersten Quelle, die 
Qber die erste Quellenidentifikation identiflziert wird, kann es sich urn die Einrichtung han- 

•eln, welche die ersten Daten erfasst bzw. generiert hat. So kann die erste Quelle beispiels- 
reise ein Messaufnehmer oder Sensor sein, der die ersten Daten generiert. Ebenso kann es 
25 sich bei der ersten Quelle urn eine Einrichtung handeln, Qber welche die ersten Daten im 

weiteren Verlauf geleitet werden. Dies ist insbesondere dann sinnvoll, wenn die ersten Daten 
durch diese Einrichtung eine Bearbeitung, eine Modifikation oder dergleichen erfahren. So 
kann die erste Quelle beispielsweise die Einrichtung sein, in der die ersten Daten authentifi- 
ziert werden. Ebenso kann es sich bei der ersten Quelle urn eine Einrichtung handeln, Qber 
30 welche die ersten Daten Qbertragen werden. 

Ein weiterer Vorteil dieser Variante liegt darin, dass durch die eindeutige Zuordnung der Da- 
ten zu der jeweiligen ersten Quelle anhand der authentifizierten Daten zu einem spSteren 
Zeitpunkt eine Aussage Qber die Qualitat und die LeistungsfShigkeit der ersten Quelle getrof- 
fen werden kann. Dies gilt insbesondere dann, wenn eine langere Reihe von entsprechen- 
35 den authentifizierten Daten ziir VerfQgung steht, sodass eine entsprechende Historie Qber 
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die Leistung der ersten Quelle erstellt werden kann, aus der entsprechende RQckschlQsse 
gezogen werden kSnnen. 

Die erste Quelle kann Bestandtell der ersten Einrichtung, der ersten Gbertragungseinrich- 
tung, der Datenzentrale oder jeder weiteren Einrichtung sein, Qber welche die DatenObertra- 
5 gung erfolgt. Vorzugsweise umfassen die ersten Daten jeweils eine Quellenidentifikation fQr 
samtliche Stationen, welche die ersten Daten bei der Obertragung durchlaufen, um jhren 
Obertragungsweg zu einem spateren Zeitpunkt luckenlos nachvollziehen zu konnen. 

Bei besonders vorteilhaften Ausgestaltuhgen des erfindungsgemalien Verfahrens wird zu- 
dem auch der Empfanger der ersten Daten authentifiziert. Hierdurch ist es mbglich, zu einem 
10 spateren Zeitpunkt den Nachweis zu fQhren, welche Daten an einen bestimmten Empfanger 
Qbergeben wurden. Dies ist insbesondere dann von Bedeutung, wenn der Empfang der ers- 
Jen Daten die ErfQIIung einer bestimmten entgeltpflichtigen Leistung darstellt. Durch die er- 
findungsgemalie Authentifizierung des Empfangers kann dann in vorteilhafter Weise zu ei- 
nem spateren Zeitpunkt der Empfanger der ersten Daten und damit der Leistung nachgewie- 
15 sen werden. Erfindungsgemafi ist hierzu bevorzugt vorgesehen, dass die ersten Daten zur 
Authentifizierung eines ersten Empfangers der ersten Daten eine erste Empfangeridentifika- 
tion umfassen. 

Je nach Obertragungsrichtung kann der Empfanger Bestandteil der ersten Einrichtung, der 
ersten Obertragungseinrichtung, der Datenzentrale oder jeder weiteren Einrichtung sein, 
20 ' Qber welche die DatenQbertragung erfolgt. Analog zu der oben geschilderten Quellenidentifi- 
kation ist vorzugsweise vorgesehen, dass die ersten Daten eine Empfangeridentifikation fQr 
[eden Empfanger aufweist, Qber den die Obertragung erfolgt. Bei Zwischenstationen in der 

bertragung entspricht die Empfangeridentifikation dann in der Regel der Quellenidentifikati- 
on, sodass fQr solche Zwischenstationen lediglich eine einzige Identifikation in die ersten 
25 Daten aufgenommen werden muss. 

Bei besonders vorteilhaften Varianten des erfindungsgemaBen Verfahrens wird zusatzlich 
die Obertragung selbst bzw. ein Merkmal dieser Obertragung authentifiziert. Hierdurch ist es 
zu einem spateren Zeitpunkt mogllch, gegebenenfalls nicht nur die Daten und die beteiligten 
Kommunikationspartner zweifelsfrei zu identifizieren. Es ist hiermit auch m6glich, den Vor- 
30 gang der Obertragung selbst zu identifizieren und/oder seine Qualitat zu bewerten. So kann 
die Obertragung beispielsweise durch ein entsprechendes zeitliches Merkmal in eine Reihen- 
folge von Obertragungen eingeordnet werden, um eine Historie der Obertragungen bzw. der 
Qbertragenen Daten zu erstellen. Ebenso kann die Obertragung durch ein entsprechendes 
Qualitatsmerkmal, beispielsweise das Signal-Rausch-Verhaltnis, die Anzahl der Verbin-. 
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dungsversuche, Art und/oder Anzahl von aufgetretenen Fehlern etc., spater hinsichtlich ihrer 
Qualitat beurteilt werden. ErfindungsgemaR ist hierzu vorgesehen, dass die ersten Daten zur 
Authentifizierung der Obertragung der ersten Daten eine Gbertragungsidentifikation umfas- 
sen. Diese Obertragungsidentiflkation kann beispielsweise eine fortlaufende Obertragungs- 
5 nummer umfassen, welche die Obertragung beispielsweise zusammen mit den Identifikatio- 
nen der Kommunikationspartner eindeutig identifiziert. Eine exakte zeitliche Einordnung der 
Obertragung ist moglich, wenn die Obertragungsidentifikation eine absolute Zeitinfomiation 
hinsichtlich Beginn und/oder Ende der Obertragung umfasst. 

Bel weiteren bevorzugten Varianten des erfindungsgemaften Verfahrens werden zeitliche 
10 Ereignisse authentifiziert. Erfindungsgemali umfassen die ersten Daten hierzu wenigstens 
eine fur ein vorgebbares Ereignis charakteristische Zeitkennung. Bei den vorgebbaren Er- 

•eignis kann es sich beispielsweise urn die Generierung bzw. Erfassung der zu tibertragenen 
baten handeln, ebenso kann es sich urn das Senden bzw. Empfangen der ersten Daten 
handeln: Vorzugsweise ist jeweils eine Zeitkennung fur einen dieser Vorgange vorgesehen. 
15 Mit anderen Worten umfassen die ersten Daten beispielsweise eine erste Zeitkennung, die 
fur den Zeitpunkt der Generierung bzw. Erfassung der zu (ibersenden Daten reprasentativ 
ist, eine zweite Zeitkennung, die fllr das Senden dieser Daten reprasentativ ist, und eine drit- 
te Zeitkennung, die fur das Empfangen dieser Daten reprasentativ ist. 

Bei besonders vorteilhaften Varianten des erfindungsgemalien Verfahrens ist vorgesehen, 
20 dass die authentifizierten ersten Daten in einen Protokolldatensatz eingefQgt werden, der in 
der ersten Einrichtung und zusatzlich oder alternativ in der Datenzentrale gespeichert wird. 
Dieser Protokolldatensatz ermoglicht es gegebenenfalls beiden Kommunikationspartnern 

•ohne weiteres zu einem beliebigen spateren Zeitpunkt die entsprechend authentifizierten 
|baten zu verifizieren. 

25 Besonders gUnstige Varianten des erfindungsgemalien Verfahrens zeichnen sich dadurch 
aus, dass mit ihnen eine zuverlassige Oberwachung bestimmter Zustande, insbesondere 
bestimmter Zustande der mobilen ersten Einrichtung mdglich ist. Erfindungsgemali ist hierzu 
vorgesehen, dass die ersten Daten von der ersten Einrichtung zur Datenzentrale Qbertrage- 
ne erste Oberwachungsdaten umfassen, die wenigstens einen ersten Erfassungswert einer 

30 ersten Erfassungsgr6(le umfassen, der von einer ersten Erfassungseinrichtung der ersten 
Einrichtung erfasst wurde. 

Bei der Erfassungsgrofce kann es sich grundsatzlich urn eine beliebige durch entsprechende 
Erfassungseinrichtungen erfassende Gr6lie handeln. So kann es sich beispielsweise urn 
eine Zustandgrdlie der Umgebung der mobilen ersten Einrichtung handeln, welche durch 
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entsprechende Sensoren Oder dergleichen der mobilen ersten Einrichtung erfasst wird. Be- 
sonders vorteilhaft lasst sich das erfindungsgemaBen Verfahren jedoch zur Oberwachung 
des Zustands der mobilen Einrichtung selbst einsetzen. Bevorzugt handelt es sich bei der 
ersten Erfassungsgrolle daher urn eine Zustandsgro&e der ersten Einrichtung. Diese Zu- 
standgr5fte kann beispielsweise ein Betriebsparameter der ersten Einrichtung sein. Hierzu 
zahlen beispielsweise die Geschwindigkeit und die Beschleunigung der ersten Einrichtung, 
die nach Betrag und Richtung erfasst werden kbnnen. Ebenso kann naturlich auch die Posi- 
tion der ersten Einrichtung die erste ErfassungsgrdlSe bilden. Ebenso kann es sich urn eine 
Temperatur handeln, wie z. B. die Temperatur im KOhlwasser- oder Motorolkreislauf etc. 
Schlielilich kann es sich urn einen Olstand, den Reifendruck oder einen beliebigen anderen 
Zustandsparameter handeln. Es versteht sich im Qbrigen, dass beliebige Kombinationen sol- 
che Erfassungsgrdlien Uber entsprechende Erfassungseinrichtungen erfasst und ubermittelt 
^werden kSnnen, um den Zustand der ersten Einrichtung zu charakterisieren. 

Weitere vorteilhafte Varianten des erfindungsgemaiien Verfahrens ermoglichen eine Beein- 
flussung bestimmter Betriebsparameter und damit des Betriebs der mobilen ersten Einrich- 
tung. ErfindungsgemSfi ist hierzu vorgesehen, dass die ersten Daten wenigstens Betriebs- 
beeinflussungsdaten umfassen, die zur Beeinflussung des Betriebs der ersten Einrichtung an 
die erste Einrichtung Qbermittelt werden. So ist es beispielsweise moglich, durch die Gber- 
tragung der ersten Daten zur ersten Einrichtung aktuelle Betriebsparameter zu verandern. 
Ebenso kann beispielsweise ein Austausch von Teilen der Betriebssoftware der ersten Ein- 
richtung bis hin zum kompletten Austausch der Betriebssoftware vorgenommen werden. Mit 
der erfindungsgemaiien Authentifizierung der ersten Daten kann, gegebenenfalls zusammen 
mit anderen Sicherungsmechanismen, sichergestellt werden, dass nur authentische und 
^utorisierte Daten berQcksichtigt werden. Es kann damit also mit anderen Worten nur zu ei- 
jPer autorisierten Beeinflussung des Betriebs der mobilen ersten Einrichtung erfolgen. 

Bei weiteren vorteilhaften Varianten des erfindungsgemaiien Verfahrens werden die Daten 
Qber wenigstens eine zweite DatenObertragungseinrichtung Qbertragen. Diese zweite Daten- 
Obertragungseinrichtung kann sowohl ebenfalls mobil als auch stationer sein. Hierdurch ist 
es m6glich, ein kostengQnstiges Obertragungssystem zu realisieren. So kann die zweite Da- 
tenObertragungseinrichtung entsprechend leistungsfahig ausgebildet sein, um die ersten 
Daten Qber eine weite Strecke zu und von der Datenzentrale zu Qbertragen. Die erste Da- 
tenObertragungseinrichtung kann dann einfacher und kostengQnstiger gestaltet werden. Ins- 
besondere kann sie fOr eine kOrzere Obertragungsstrecke zur zweiten DatenObertragungs- 
einrichtung ausgelegt werden. In einem solchen System kann beispielsweise ein ausrei- 
chend flachendeckendes Netz von zweiten DatenQbertragungseinrichtungen realisiert wer- 
den, wobei sich eine erste DatenObertragungseinrichtung und eine zweite DatenObertra- 


gungseinrichtung dann lediglich ausreichend nahe kommen mussen, urn die Obertragung 
zwischen der mobilen ersten Einrichtung der entfemten Datenzentrale sicherzustellen. 

Die vorliegende Erfindung betrifft weiterhin ein Verfahren zur Oberwachung einer mobilen 
ersten Einrichtung, insbesondere eines Fahrzeugs, bei dem zwischen der mobilen ersten 

5 Einrichtung und einer von der ersten Einrichtung zumindest zeitweise entfernten Datenzent- 
rale Qber wenigstens eine mobile erste Obertragungseinrichtung erste Daten mit dem oben 
beschriebenen erfindungsgemalien Verfahren Qbertragen werden. Erfindungsgemali umfas- 
sen die ersten Daten von der ersten Einrichtung zur Datenzentrale Gbertragene erste Ober- 
wachungsdaten. Die ersten Oberwachungsdaten umfassen wenigstens einen ersten Erfas- 

10 sungswert einer ersten ErfassungsgrSRe, der von einer ersten Erfassungseinrichtung der 
ersten Einrichtung erfasst wurde. Diese ersten Oberwachungsdaten. werden in der Daten- 

•zentrale verifiziert. Schlielilich werden die ersten Oberwachungsdaten bei erfolgreicher Veri- 
jfikation in der Datenzentrale analysiert. 

Vorzugsweise wird in der Datenzentrale in Abhangigkeit von der Analyse der ersten Oberwa- 
15 chungsdaten eine erste Oberwachungsreaktion ausgelOst. Bei der Oberwachungsreaktion 
kann es sich grundsatzlich urn eine beliebige Reaktion handeln. 


Bei besonders vorteilhaften Varianten des erfindungsgemalien Verfahren handelt es sich bei 
der Oberwachungsreaktion urn eine Abrechnung handeln. So kann belspielsweise bei der 
Oberwachung der Nutzung von gemieteten oder geleasten mobilen Einheiten, beispielsweise 
20 Fahrzeugen, Baumaschinen etc., in Abhangigkeit von der Qber entsprechende Erfassungs- 
einrichtungen erfassten, Qbermittelten und analysierten abrechnungsrelevanten Nutzung 

•eine Abrechnung der Nutzung erfolgen. Durch die erfindungsgemalle Authentifizierung der 
Ibermittelten Daten ist dabei sichergestellt, dass diese wahrend der Obertragung nicht ma- 
nipuliertwurden. Erfindungsgemaft ist hierzu vorgesehen, dass die erste Oberwachungsre- 
25 aktion einen Abrechnungsvorgang umfasst. 

Zusatzlich Oder alternativ kannen auch beliebige andere Oberwachungsreaktionen ausgeiest 
werden. So kdnnen beispielsweise im Rahmen der Oberwachung des Betriebszustands von 
mobilen Einrichtungen so genannte FrGhwarnsysteme realisiert werden. Werden beispiels- 
weise Qber die ersten Daten Fehler oder kritische Zustande bestimmter Einheiten der ersten 
30 Einrichtung erfasst oder ergibt sich aus der Analyse der ersten Daten, dass derartige Fehler 
oder kritische Zustande, gegebenenfalls mit einer bestimmten Wahrscheinlichkeit, innerhalb 
eines bestimmten Zeitraums eintreten, so kann als Oberwachungsreaktion eine entspre- 
chende Mitteilung an die erste Einrichtung Dbermittelt werden. Die erste Einrichtung kann 
diese Nachricht dann an den aktuellen Nutzer Qber eine entsprechend Schnittstelle, bei- 
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spielsweise optisch und/oder akustisch ausgeben. Es versteht sich, dass diese Nachricht 
dabei in der oben beschriebenen Weise entsprechend authentifiziert ubermittelt werden 
kann, urn Manipulationen auszuschlieRen. Zusatzlich oder alternativ kann eine solche Nach- 
richt von der Datenzentrale auch automatisch, beispielsweise per Mobilfunk, an einen ent- 
5 sprechend registrierten Nutzer Qbermittelt werden. 

Es versteht sich jedoch, dass nicht nur fur die Funktion der mobiien Einheit unmitteltDar rele- 
vante ErfassungsgroRen erfasst werden konnen. Mit anderen Worten kOnnen beispielsweise 
auch andere ErfassungsgrSRen erfasst werden, welche keinen unmittelbaren Einfluss auf die 
FunktionsfShigkeit der mobiien Einheit haben. 

10 So kann beispielsweise im Fall von gemieteten oder geleasten mobiien Einheiten die aktueile 

•Nutzung Gberwacht werden und als eine Oberwachungsreaktion eine entsprechende Nach- 
hcht generiert werden, sobaid der Nutzer den vereinbarten Nutzungsrahmen Qberschreitet 
oder zu Gberschreiten droht. Ebenso kann bei Oberschreiten des vereinbarten Nutzungs- 
rahmens als Oberwachungsreaktion auf einen anderen Abrechnungsmodus umgeschaltet 
15 werden. War beispielsweise bei einem gemieteten Fahrzeug eine bestimmte Kilometerleis- 
tung pauschal vergGtet, kann bei Erfassung des Oberschreitens dieser Kilometerleistung auf 
eine kilometerbezogene Abrechnung der Mehrkilometer umgeschaltet werden. 

Ebenso kann beispielsweise gemieteten oder geleasten Fahrzeugen oder Maschinen die 
Position als erste Erfassungsgr5Re Qberwacht und analysiert werden. VerstoRt der Nutzer 

20 gegen eine Vereinbarung, indem das Fahrzeug beispielsweise einen vereinbarten Einsatzbe- 
reich verlSsst, oder droht ein solcher VerstoR, so kann ebenfalls eine entsprechende Nach- 

^^^richt bzw. Warnung als Oberwachungsreaktion Qbermittelt werden. 

^^VVeiterhin kann beispielsweise im Rahmen der Oberwachung vorgeschriebener Ruhezeiten 
fur FahrzeugfQhrer die Betriebsdauer anhand entsprechender Kriterien Oberwacht werden. 

25 Ergibt sich anhand einer oder mehrerer Erfassungsgrolien, dass die vorgeschriebenen Ru- 
hezeiten nicht eingehalten werden bzw. ein VerstoR hiergegen droht, so kann ebenfalls eine 
entsprechende Nachricht bzw. Warnung als Oberwachungsreaktion Qbermittelt werden. 

Der beiden vorgenannten Fallen konnen im Fail des Verstofies unter bestimmten Vorausset- 
zungen als weitere Oberwachungsreaktion Gegenmafinahmen eingeleitet werden. Im ein- 
30 fachsten Fall kann dies durch eine entsprechende Mitteilung an eine hoheitliche Einrichtung, 
wie beispielsweise die Poiizei oder dergleichen, ubermittelt werden, urn den VerstoR abzu- 
steilen. 
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Ebenso kann aber unter BerQcksichtigung entsprechender Sicherheitsvorschriften als Ober- 
wachungsreaktion einen direkte Beeinflussung der ersten Einrichtung erfolgen. Diese kann 
gegebenenfalls bis hin zur kontrollierten Abschaltung der ersten Einrichtung reichen. 

Eine solche Beeinflussung kann natQrlich auch im Fall der oben genannten Oberwachung 
funktionsrelevanter Erfassungsgrdlien erfolgen. Vorzugsweise ist daher vorgesehen, dass . 
die erste Oberwachungsreaktion die Generierung von Betriebsbeeinflussungsdatenumfasst, 
die zur Beeinflussung des Betriebs der ersten Einrichtung an die erste Einrichtung Qbermittelt 
werden. Wird beispielsweise erfasst, dass fQr einen bestimmten Betriebsparameter ein kriti- 
scher Zustand droht oder vorliegt, k6nnen unter BerQcksichtigung entsprechender Sicher- 
heitsvorschriften entsprechende Gegenmaflnahmen eingeleitet werden, urn diesen kritischen 
Zustand zu verhindern oder abzustellen. Hierbei ist es unter anderem auch mflglich, schad- 
Jiafte Betriebssoftware oder Teile Qber eine solche Betriebsbeeinflussung zu warten oder 
■gegebenenfalls sogar vollstandig auszutauschen. 

In alien vorgenannten Fallen mit entsprechenden Ciberwachungsreaktionen stellt die Authen- 
tifizierung der im Rahmen der Oberwachungsreaktion an die mobilen Einheit Qbermittelten 
ersten Daten sicher, dass es im Rahmen einer solchen Oberwachungsreaktion zu keinen 
nicht autorisierten Manipulationen kommen kann, sondern lediglich Prozesse ablaufen, die 
auf entsprechend autorisierten Daten basieren. 

Bei weiteren bevorzugten Varianten des erfindungsgemaften Verfahrens ist vorgesehen, 
dass bei der Analyse weitere, nicht von der ersten Einrichtung Qbermittelte Daten 
berQcksichtigt werden. Hierbei kann es sich beispielsweise um statistische Daten handeln, 

Iwelche durch die Auswertung der Daten gewonnen wurden, die von baugleichen oder 
Ihnlichen ersten Einrichtungen stammen. Ebenso kann es sich aber um, auf anderem Wege 
zu Datenzentrale gelangte Daten handeln. Insbesondere konnen bei der AuslSsung einer 
Oberwachungsreaktion auch externe Informationen hinsichtlich der ersten Einrichtung 
berQcksichtigt werden. So kann zum Beispiel eine der oben beschriebenen 
Oberwachungsreaktionen ausgelflst werden, wenn in der Datenzentrale eine Information 
eingeht, dass die erste Einrichtung gestohlen wurde oder dergleichen. 

Die vorliegende Erfindung betrifft weiterhin eine Anordnung zum Obertragen von Daten zwi- 
schen einer mobilen ersten Einrichtung, insbesondere einem Fahrzeug, und einer von der 
ersten Einrichtung zumindest zeitweise entfernten Datenzentrale, wobei zur Obertragung der 
Daten wenigstens eine mobile erste Obertragungseinrichtung vorgesehen ist. Erfindungsge- 
mafi umfassen die Qbertragenen Daten erste Daten und es ist wenigstens eine Sicherheits- 
einrichtung vorgesehen, die zum Generieren eines die ersten Daten darstellenden ersten 
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Datensatzes und zum Authentifizieren der ersten Daten durch kryptographische Mittel aus- 
gebildet ist Die erfindungsgemaiie Anordnung eignet sich zur DurchfGhrung des erfindungs- 
gemSRen Verfahrens. Mit ihr lassen sich die vorstehend beschriebenen Ausgestaltungen 
und Vorteile in derselben Weise reaiisieren, sodass diesbezQglich auf die obigen AusfGhrun- 
5 gen verwiesen wird. 

Die Sicherheitseinrichtung umfasst dabei ein Kryptographierhodui, welches die oberj be- 
schriebenen kryptographischen Mittel zur VerfQgung stellt. Die Sicherheitseinrichtung kann 
dabei insbesondere zur oben beschriebenen Generierung eines MAC ausgebildet sein. Vor- 
zugsweise ist die Sicherheitseinrichtung zur Bildung einer ersten digitalen Signatur unter 
10 Verwendung der ersten Daten ausgebildet, urn die ersten Daten zu authentifizieren. 

•Das Kryptographiemodul kann sowohl zur Verschldsselung zu speichernder Daten verwen- 
bet werden als auch zur Verschldsselung zu Qbertragender Daten. Es versteht sich, dass je 
nach Anwendung, also beispielsweise je nachdem, ob Daten versandt oder gespeichert wer- 
den sollen, auch unterschiedliche kryptographische Verfahren angewendet werden konnen. 

15 Neben dem bzw. den kryptographischen Algorithmen und einem oder mehreren entspre- 
chenden kryptographischen SchlQsseln umfassen die Kryptographiedaten das Kryptpgra- 
phiemoduls bevorzugt weitere Daten, wie beispielsweise ein oder mehrere kryptographische 
Zertifikate entsprechender Zertifizierungsinstanzen sowie gegebenenfalls ein oder mehrere 
eigene kryptographische Zertifikate der Sicherheitseinrichtung. 

20 Vorzugsweise ist die Sicherheitseinrichtung zum Austausch wenigstens eines Teils der Kryp- 

•tographiedaten ausgebildet, urn in vorteilhafter Weise eine einfache und dauerhaft zuverlas- 
pige Sicherung der Daten zu gewahrleisten. Hierbei kann insbesondere vorgesehen sein, 
dass neben den kryptographischen SchlQsseln und kryptographischen Zertifikaten auch der 
jeweils verwendete kryptographische Algorithmus ausgetauscht werden kann, urn das Sys- 
25 tern in einfacher Weise an geanderte Sicherheitsanforderungen anpassen zu kOnnen. Die 
Implementierung und der Austausch der Kryptographiedaten erfolgt bevorzugt im Rahmen 
einer so genannten Public Key Infrastruktur (PKI), wie sie hinianglich bekannt ist und daher 
an dieser Stelle nicht weiter beschrieben werden soli. Es versteht sich insbesondere, dass 
eine entsprechende Routine zur Oberprufung der Validitat der verwendeten kryptographi- 
30 schen Zertifikate vorgesehen ist. Geeignete derartige OberprQfungsroutinen sind ebenfalls 
hinlSnglich bekannt und sollen daher hier nicht nSher beschrieben werden 

Vorzugsweise ist die Sicherheitseinrichtung zur oben beschriebenen Authentifizierung einer 
ersten Quelle der ersten Daten ausgebildet. Hierzu ist die Sicherheitseinrichtung bevorzugt 
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zum Einbringen einer ersten Quellenidentifikation in den ersten Datensatz ausgebildet. Wei- 
ter vorzugsweise ist die Sicherheitseinrichtung zur oben beschriebenen Authentifizierung 
eines ersten EmpfSngers der ersten Daten ausgebildet. Hierzu ist sie vorzugsweise zum 
Einbringen einer ersten Empfangeridentifikation in den ersten Datensatz ausgebildet 

5 . Bei bevorzugten Varianten der erfindungsgemaften Anordnung ist die Sicherheitseinrichtung 
zur Authentifizierung der Obertragung der ersten Daten ausgebildet. Hierzu ist sie bpvorzug- 
ten zum Einbringen einer Obertragungsidentifikation in den ersten Datensatz ausgebildet 
Weiterhin ist die Sicherheitseinrichtung vorzugsweise zum Einbringen wenigstens einer fDr 
ein vorgebbares Ereignis charakteristischen Zeitkennung in den ersten Datensatz ausgebil- 

10 det 

•Bei weiteren vorteilhaften Varianten der erfindungsgemalien Anordnung ist vorgesehen, 
bass die Sicherheitseinrichtung zum Einbringen der authentifizierten ersten Daten in einen 
Protokolldatensatz ausgebildet ist. Die erste Einrichtung weist dann einen ersten Protokoll- 
speicher zum Speichern des Protokolldatensatzes auf . Zusatzlich oder alternativ weist die 
15 Datenzentrale einen zweiten Protokollspeicher zum Speichern des Protokolldatensatzes auf. 

Die Sicherheitseinrichtung kann grundsatzlich an beliebiger Stelle in der Obertragungsstre- 
cke angeordnet sein. Bevorzugt umfasst die erste Einrichtung eine erste derartige Sicher- 
heitseinrichtung. Zusatzlich oder alternativ umfasst die Datenzentrale eine zweite derartige 
Sicherheitseinrichtung. 


20 Bei vorteilhaften Varianten der erfindungsgemSlien Anordnung umfassen die ersten Daten 

•von der ersten Einrichtung zur Datenzentrale Qbertragene erste Oberwachungsdaten. Diese 
Jbberwachungsdaten umfassen wiederum wenigstens einen ersten Erfassungswert einer 
ersten Erfassungsgrofte. Die erste Einrichtung umfasst weiterhin eine erste Erfassungsein- 
richtung zur Erfassung des ersten Erfassungswerts. Bei den ErfassungsgroBen kann es sich, 
25 wie oben erwShnt, urn beliebige erfassbare GrSfien handeln. Bevorzugt ist die erste Erfas- 
sungseinrichtung zur Erfassung einer Zustandsgrofie der ersten Einrichtung als erster Erfas- 
sungsgrSRe ausgebildet. 


Bei weiteren bevorzugten Varianten der erfindungsgemaiien Anordnung ist vorgesehen, 
dass die ersten Daten von der Datenzentrale zur ersten Einrichtung Qbertragene Betriebsbe- 
30 einflussungsdaten umfassen. Die erste Einrichtung umfasst dann eine Betriebsbeeinflus- 
sungseinrichtung, urn hierQber den Betrieb der ersten Einrichtung in Abhangigkeit von den 
Betriebsbeeinflussungsdaten zu beeinflussen, wie dies oben im Zusammenhang mit dem 
erfindungsgemafien Verfahren beschrieben wurde. 
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Die vorliegende Erfindung betriffi weiterhin eine Anordnung zur Oberwachung einer mobilen 
ersten Einrichtung, insbesondere eines Fahrzeugs, mit einer erfindungsgemalien Anordnung 
zur Obertragung von ersten Daten. Die ersten Daten umfassen dabei von der ersten Einrich- 
tung zur Datenzentrale Qbertragene erste Gberwachungsdaten, die wenigstens einen ersten 
Erfassungswert einer ersten Erfassungsgrdlie umfassen. Die erste Einrichtung umfasst wei- 
terhin eine erste Erfassungseinrichtung zur Erfassung des ersten Erfassungswerts. Die Da- 
tenzentrale weist eine zweite Sicherheitseinrichtung zum Verifizieren der ersten Gberwa- 
chungsdaten auf. Weiterhin weist die Datenzentrale eine mit der zweiten Sicherheitseinrich- 
tung verbundene Analyseeinrichtung zum Anaiysieren der ersten Gberwachungsdaten in 
Abhangigkeit vom Ergebnis der Verifikation auf. Diese erfindungsgemafie Anordnung eignet 
sich zur Durchfuhrung des erfindungsgemalien Verfahrens zur Gberwachung einer mobilen 
ersten Einrichtung. Mit ihr lassen sich die vorstehend beschriebenen Ausgestaltungen und 
Vorteile in derselben Weise realisieren, sodass diesbezUglich auf die obigen AusfQhrungen 
verwiesenwird. - 

Bevorzugt ist wenigstens eine mit der Analyseeinrichtung verbindbare Oberwachungsreakti- 
onseinrichtung zur Durchftihrung einer ersten Gberwachungsreaktion vorgesehen. Die Ana- 
lyseeinrichtung ist dann zum Ansteuern der Gberwachungsreaktionseinrichtung ausgebildet, 
um eine erste Gberwachungsreaktion in Abhangigkeit vom Ergebnis der Analyse der ersten 
Gberwachungsdaten auszulosen. 

Vorzugsweise ist als Oberwachungsreaktionseinrichtung eine mit der Analyseeinrichtung 
verbindbare Abrechnungseinrichtung vorgesehen. Weiter vorzugsweise ist die Oberwa- 
chungsreaktionseinrichtung zur Generierung von Betriebsbeeinflussungsdaten als erste 0- 
k berwachungsreaktion ausgebildet, wobei Betriebsbeeinflussungsdaten die zur Beeinflussung 
Ides Betriebs der ersten Einrichtung dienen. Die Datenzentrale ist dann zur Obertragung ers- 
ter Daten an die erste Einrichtung ausgebildet, wobei die ersten Daten die Betriebsbeeinflus- 
sungsdaten umfassen. Schlielilich weist die erste Einrichtung eine Betriebsbeeinflussungs- 
einrichtung zur Beeinflussung des Betriebs der ersten Einrichtung in Abhangigkeit von den 
Betriebsbeeinflussungsdaten auf. 

Bei weiteren bevorzugten Varianten der erfindungsgemalien Anordnung umfasst die erste 
Einrichtung eine erste Sicherheitseinrichtung, die zum Verifizieren der die Betriebsbeeinflus- 
sungsdaten umfassenden ersten Daten ausgebildet ist. Die Betriebsbeeinflussungseinrich- 
tung ist dann zur Beeinflussung des Betriebs der ersten Einrichtung in Abhangigkeit vom 
Ergebnis der Verifizierung ausgebildet. 
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Die vorliegende Erfindung betrifft weiterhin eine mobile erste Einrichtung, insbesondere 
Fahrzeug, fQr eine erfindungsgemafie Anordnung. ErfindungsgemSli umfasst die erste Ein- 
richtung elne erste DatenQbertragungseinrichtung zur Obertragung erster Daten und eine mit 
der ersten DatenQbertragungseinrichtung verbindbare erste Sicherheitseinrichtung. Die Si- 
5 cherheitseinrichtung ist zum Generieren eines die ersten Daten darstellenden ersten Daten- 
satzes und zum Authentifizieren der ersten Daten durch kryptographische Mittel ausgebildet. 

Bei einer bevorzugten Ausgestaltung der erfindungsgemaften mobilen Einrichtung ist die 
erste Sicherheitseinrichtung zur Authentifizierung der ersten DatenQbertragungseinrichtung 
ausgebildet. Hierzu ist sie bevorzugt zum Einbringen einer der ersten DatenQbertragungsein- 
10 • richtung zugeordneten Identifikation in den ersten Datensatz ausgebildet. 

•Die vorliegende Erfindung betrifft schliefilich eine Datenzentrale fQr eine erfindungsgemafte 
Anogdnung. Erfindungsgemaii weist die Datenzentrale eine DatenQbertragungseinrichtung 
zur Obertragung erster Daten und eineTnit der DatenQbertragungseinrichtung verbindbare 
zweite Sicherheitseinrichtung auf, die zum Generieren eines die ersten Daten darstellenden 
15 .ersten Datensatzes und zum Authentifizieren der ersten Daten durch kryptographische Mittel 
ausgebildet ist. 

Urn erhdhten Schutz vor unerkannter unbefugter Manipulation der gespeicherten ersten Da- 
ten, insbesondere der gespeicherten Erfassungswerte zu erzielen, ist die jeweilige Sicher- 
heitseinrichtung bevorzugt zur OberprQfung der Zugriffsberechtigung auf wenigstens einen 
20 Teil der Sicherheitseinrichtung oder anderer Teile der ersten Einrichtung bzw. der Datenzent- 
rale ausgebildet. Die OberprQfung kann sich dabei auf einzelne, entsprechend sicherheitsre- 

•levante Bereiche der Sicherheitseinrichtung beschrSnken. Sie kann sich jedoch auch auf die 
OberprQfung der Zugriffsberechtigung fur samtliche Bereiche der Sicherheitseinrichtung 
erstrecken. 

25 Bevorzugt wird schon die Zugriffsberechtigung auf den Speicher QberprQft, in dem die ersten 
Daten gespeichert sind, urn den unberechtigten Zugriff auf die ersten Daten zu verhindern. 
■ Es versteht sich jedoch, dass bei bestimmten Varianten der erfindungsgemalien Anordnung 
der Zugriff auf den Speicher fQr die ersten Daten auch ohne besondere Zugriffsberechtigung 
zugelassen sein kann, wenn die ersten Daten bereits in entsprechend authentifizierter Weise 

30 gespeichert sind, dass nicht autorisierte Manipulationen an den ersten Daten erkennbar sind. 
Dies ist der Fall, wenn die ersten Daten beispielsweise bereits zusammen mit einer unter 
Verwendung der ersten Daten erzeugten Authentifizierungsinformation, wie beispielsweise 
einem obengenannten MAC, einer digitalen Signatur oder dergleichen gespeichert sind. Die 
Authentifizierungsinformation wird dann bevorzugt, in einem Bereich der Sicherheitseinrich- 
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tung erzeugt, fur.den die Zugriffsberechtigung, sofern der Zugriff Qberhaupt moglich ist, 0- 
berprGftwird. 

Hierdurch wird erreicht, dass eine unbefugte Manipulation des gespeicherten ersten Daten 
zum einen entweder mangels Zugriff auf die ersten Daten Qberhaupt nicht m5glich ist oder 
s bei einer OberprGfung zumindest nicht unerkannt bleibt. 

Die OberprOfung der Zugriffsberechtigung kann grundsatzlich in beiiebiger geeigneterWeise 
erfolgen. So ist es beispielsweise mOglich, ein Passwortsystem Oder dergleichen zu imple- 
mentieren. Bevorzugt ist vorgesehen, dass die Verarbeitungseinheit zur OberprOfung der 
Zugriffsberechtigung unter Einsatz kryptographischer Mittel ausgebildet ist. Hierbei konnen 
10 beispielsweise digitale Signaturen und kryptographische Zertifikate zur Anwendung kommen. 

•Dies ist von besonderem Vorteil, da derartige kryptographische Verfahren einen besonders 
hohen Sicherheitsstandard gewahrleisten. 

Hierbei konnen im Qbrigen wenigstens zwei unterschiedliche Zugriffsberechtigungsstufen 
vorgesehen sein, die mit unterschiedlichen Zugriffsrechten auf die Sicherheitseinrichtung 

15 bzw. mit ihr verbundenen Einrichtungen verknupft sind. Hiermit ISsst sich in einfacher Weise 
zum einen eine hierarchische Struktur mit unterschiedlich weit gehenden Zugriffsrechten 
implementieren. So kann beispielsweise dem Benutzer der Anordnung auf der untersten 
Zugriffsberechtigungsstufe als einzige Zugriffshandlung erlaubt sein, die gespeicherten ers- 
ten Daten auszulesen, wShrend einem Administrator auf einer hoheren Zugriffsberechti- 

20 gungsstufe neben dem Auslesen der ersten Daten gegebenenfalls die Modifikation weiterer 
Komponenten der Sicherheitseinrichtung etc. moglich ist. 

fcjzum anderen lasst sich Qber die Zugriffsberechtigungsstufen auf derselben Hierarchieebene 
aber auch der Zugriff auf unterschiedliche Bereiche der Sicherheitseinrichtung bzw. mit ihr 
verbundenen Einrichtungen steuern. Die Anzahl der Zugriffsberechtigungsstufen oder Klas- 
25 sen richtet sich dabei nach der jeweiligen Verwendung der Anordnung und der Komplexitat 
der mit der erfindungsgemaflen Anordnung realisierbaren Anwendungen. 

Bei bevorzugten Ausgestaltungen der erfindungsgemalien Anordnung werden die ersten 
Erfassungswerte verknupft mit einer fur den Erfassungszeitpunkt des ersten Erfassungs- 
werts charakteristischen Erfassungszeitkennung ausgebildet. Durch diese haufig auch als 
30 Zeitstempel bezeichnete VerknOpfung des gespeicherten ersten Erfassungswerts mit dem 
Zeitpunkt seiner Erfassung wird die Weiterverarbeitung des Erfassungswerts, beispielsweise 
zu Zwecken der Abrechnung aber auch zu Zwecken der Statistik etc. deutlich erieichtert. 
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Dies gilt insbesondere dann, wenn mehrere, zu unterschiedlichen Zeiten erfasste erste Er- 
fassungswerte verarbeitet werden sollen. 

Es versteht sich jedoch, dass es bei anderen Varianten der Erfindung ohne derartige Zeit- 
stempel auch ausreichen kann, wenn lediglich durch geeignete MaBnahmen sichergestellt 
ist, dass die Chronologie der Erfassung der ersten Erfassungswerte nachvollziehbar ist. So 
konnen den ersten Erfassungswerten beispielsweise fortlaufende Nummern zugeordnet wer- 
den, urn dieses Ziel zu erreichen. 

Die Ermittlung der Erfassungszeit kann auf beliebige geeignete Weise erfolgen. Bevorzugt 
umfasst die Sicherheitseinrichtung zur Ermittlung der Erfassungszeitkennung ein mit der 
Verarbeitungseinheit verbundenes Zeiterfassungsmodul. Hierbei kann es sich urn eine integ- 
rierte Echtzeituhr handeln Oder ein Modul, das Qber eine geeignete Kommunikationsverbin- 
Idung zu einer entsprechenden Instanz die Echtzeit abfragt. Die integrierte Echtzeituhr kann 
dabei gegebenenfalls von Zeit zu Zelt mit einer entsprechend genauen Zeitquelle synchroni- 
siert werden. 

Bei besonders gQnstigen Varianten der Erfindung ist wenigstens eine zweite Erfassungsein- 
richtung zur Erfassung wenigstens eines zweiten Erfassungswerts der ersten Erfassungs- 
grfide vorgesehen. Mit diesen Varianten ist es mSglich, auch grbliere Systeme mit mehreren 
Erfassungsorten der Erfassungsgrbfie, beispielsweise mehreren Messstellen fQr den 
Verbrauch eines Verbrauchsgutes, mit einer reduzierten Anzahl von Sicherheitseinrichtun- 
gen, gegebenenfalls sogar mit einer einzigen Sicherheitseinrichtung zu betreiben. Urn die 
Trennung der ersten und zweiten Erfassungswerte sicherzustellen, kann vorgesehen sein, 
^dass die ersten und zweiten Erfassungswerte in unterschiedlichen Speicherbereichen abge- 
Megt werden. Hierbei kbnnen insbesondere unterschiedliche Zugriffsberechtigungen fQr die 
unterschiedlichen Speicherbereiche definiert sein, urn sicherzustellen, dass nur die jeweils 
autorisierten Personen bzw. Einrichtungen auf den entsprechenden Speicherbereich zugrei- 
fen konnen. 

Besonders vorteilhaft ist es jedoch, wenn der erste Erfassungswert verknupft mit einer fQr die 
erste Erfassungseinrichtung charakteristischen ersten Erfassungseinrichtungskennung und 
der zweite Erfassungswert verknQpft mit einer fQr die zweite Erfassungseinrichtung charakte- 
ristischen zweiten Erfassungseinrichtungskennung gespeichert wird. Mit dieser eindeutigen 
Zuordnung zwischen der Erfassungseinrichtung und dem durch sie erfassten Erfassungs- 
werts ist eine besonders einfache und zuverlassige Trennung mbglich, welche die spatere 
Weiterverarbeitung erheblich erleichtert. 
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Bei weiteren gOnstigen Ausgestaltungen der erfindungsgemaften Anordnung ist vorgesehen, 
dass die erste Erfassungseinrichtung zur Erfassung wenigstens eines dritten Erfassungs- 
werts einer zweiten ErfassungsgrQIJe ausgebildet ist. Alternativ kann eihe dritte Erfassungs- 
einrichtung zur Erfassung wenigstens eines dritten Erfassungswerts einer zweiten Erfas- 
sungsgrdfie vorgesehen sein. Hierdurch ist es mSglich, mit einer einzigen Slcherheitseinrich- 
tung die Erfassung und gesicherte Speicherung der Erfassungswerte fQr unterschiedliche 
ErfassungsgrSBen zu realisieren. , 

Um die Trennung der ersten und dritten Erfassungswerte sicherzustellen, kann auch hier 
wieder vorgesehen sein, dass die ersten und dritten Erfassungswerte in unterschiedlichen 
Speicherbereichen abgelegt werden. Besonders vorteilhaft ist es jedoch auch hier, wenn der 
erste Erfassungswert verknQpft mit einer fQr die erste Erfassungsgraiie charakteristischen 
ersten Erfassungsgrbflenkennung und der dritte Erfassungswert verknQpft mit einer fQr die 
Jzweite ErfassungsgrdRe charakteristischen zweiten Erfassungsgrofienkennung gespetchert 
wird. Mit dieser eindeutigen Zuordnung zwischen der Erfassungseinrichtung und der durch 
sie erfassten ErfassungsgrSlie ist eine besonders einfache und zuverlassige Trennung m5g- 
lich, welche die spatere Weiterverarbeitung der gespeicherten Daten erheblich erleichtert. N 

Bei bevorzugten Varianten der erfindungsgemSfien Anordnung sind die erste Erfassungsein- 
richtung und die Sicherheitseinrichtung in einer vor unbefugtem Zugriff geschutzten sicheren 
Umgebung angeordnet, um in vorteilhafter Weise den unbefugten Zugriff nicht nur auf die 
Daten der Sicherheitseinrichtung sondern auch auf die Daten, die von und zu der ersten Er- 
fassungseinrichtung geliefert werden, wirksam zu unterbinden. 

.Die sichere Umgebung kann dabei physisch durch ein oder mehrere entsprechend gesicher- 
■te Gehause hergestellt werden. Diese GehSuse sind dann betforzugt mit entsprechenden, 
hinlangiich bekannten Mitteln zur Erfassung von Manipulationen am Gehause ausgestattet. 
Bevorzugt erfoigt die Sicherung jedoch auch logisch durch ein entsprechend abgesichertes 
Kommunikationsprotokoll zwischen der ersten Erfassungseinrichtung und der Sicherheitsein- 
richtung. So kann beispielsweise vorgesehen sein, dass bei jeder Kommunikation zwischen 
der ersten Erfassungseinrichtung und der Sicherheitseinrichtung Qber eine entsprechend 
starke gegenseitige Authentifizierung ein gesicherter Kommunikationskanal aufgebaut wird. 
Es versteht sich, dass die erste Erfassungseinrichtung in diesem Fall Qber entsprechende 
Kommunikationsmittel verfQgt, welche die beschriebene Sicherheitsfunktionalitat zur VerfQ- 
gung stellen. 

Es versteht sich weiterhin, dass die sichere Umgebung durch solche iogischen Sicherungs- 
mechanismen auf einen beliebig groften Raum erstreckt werden kann. So konnen die erste 
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Erfassungseinrichtung und die Sicherheitseinrichtung bei solchen AusfQhrungen innerhalb 
der sicheren Umgebung weit vonelnander entfernt angeordnet sein. Es versteht sich weiter- 
hin, dass die sichere Umgebung durch solche logischen Sicherungsmechanismen auch auf 
andere Komponenten, beispielsweise das Datenzentrum, ausgeweitet werden kann. 

5 Es versteht sich, dass samtliche der oben beschriebenen Module und Funktionen der Si- 
cherheitseinrichtung durch entsprechend gestaltete Hardwaremodule realisiert sein k6nnen. 
Bevorzugt sind sie jedoch zumindest zum Teil als Softwaremodule gestaltet, auf welche die 
Verarbeitungseinheit zugreift, um die entsprechende Funktion zu realisieren. Weiterhin ver- 
steht es sich, dass die einzelnen Speicher nicht durch getrennte Speichermodule realisiert 

10 sein mussen. Vielmehr handelt es sich bevorzugt um entsprechend logisch getrennte Spei- 
cherbereiche eines einzigen Speichers, beispielsweise eines einzigen Speichermoduls. 

^^Weitere bevorzugte Ausgestaltungen der Erfindung ergeben sich aus den UnteransprDchen 
bzw. der nachstehenden Beschreibung eines bevorzugten AusfQhrungsbeispiels, welche auf 
die beigefugten Zeichnungen Bezug nimmt. Es zeigen 

15 Figur 1 eine schematische Darstellung einer bevorzugten AusfQhrungsform der erfin- 
dungsgemaften Anordnung zur DurchfQhrung des erfindungsgemaften Verfah- 
rens; 

Figur 2 ein Blockschaltbild von Komponenten der Anordnung aus Figur 1 ; 

Figur 3 eine schematische Darstellung einer weiteren bevorzugten AusfQhrungsform der 


Figur 4 eine schematische Darstellung einer weiteren bevorzugten AusfQhrungsform der 


Figur 1 zeigt ein bevorzugtes AusfQhrungsbeispiel der erfindungsgema.fi.en Anordnung zur 
DurchfQhrung des erfindungsgemalien Verfahrens zur Obertragung von Daten zwischen 
25 einer mobilen ersten Einrichtung in Form eines Fahrzeugs 1 und einer davon entfernten Da- 
tenzentrale 2. Bei dem Fahrzeug 1 handelt es sich im vorliegenden Beispiel um einen Miet- 
wagen. Die vorliegende Erfindung wird hierbei im Zusammenhang mit der Oberwachung und 
insbesondere mit der Abrechnung fQr die Nutzung dieses Mietwagens eingesetzt. 

Das Fahrzeug 1 umfasst eine mobile erste Obertragurigseinrichtung in Form eines ersten 
30 Mobilfunkmoduls 1.1 fQr ein Mobilfunknetz 3. Mittels des Mobilfunkmoduls 1.1 kSnnen Daten 


erfindungsgemaften Anordnung; 


erfindungsgemafien Anordnung. 
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Qber eine zweite Obertragungseinrichtung 3.1 des Mobilfunknetzes 3 mit einer dritten Ober- 
tragungseinrichtung in Form eines zweiten Mobilfunkmoduls 2.1 der Datenzentrale 2 ausge- 
tauscht werden. 

Das Fahrzeug 1 weist weiterhin eine mit dem ersten Mobilfunkmodul 1.1 verbundene erste 
Sicherheitseinrichtung in Form eines ersten Sicherheitsmoduls 1.2 auf. Spatestens wenn 
Qber das Mobilfunknetz 3 sicherheitsrelevante Daten von dem Fahrzeug 1 zur Datepzentrale 
2 ubertragen werden sollen, generiert das erste Sicherheitsmodul 1 .2 einen erste Daten dar- 
stellenden ersten Datensatz, der unter anderem die zu Qbertragenden sicherheitsrelevanten 
Daten umfasst Anschlieliend authentifiziert das erste Sicherheitsmodul 1.2 die ersten Daten 
unter Verwendung kryptographischer Mittel. 

Hierzu ordnet das erste Sicherheitsmodul 1.2 dem ersten Datensatz eine Authentifizierung- 
sinformation zu, indem es zunachst unter Verwendung eines entsprechenden kryptographi- 
schen Algorithmus und eines privaten ersten kryptographischen SchlQssels des Sicherheits- 
moduls 1.2 Qber dem ersten Datensatz eine erste digitale. Signatur als Authentifizierungsin- 
formation bildet. Anschlieliend bildet das Sicherheitsmodul 1.2 aus dem ersten Datensatz 
und der ersten digitalen Signatur einen zweiten Datensatz. 

Die erste digitale Signatur, also die Authentifizterungsinformation, stellt sicher, dass zu einem 
spateren Zeitpunkt durch eine Verifikation der ersten digitalen Signatur zweifelsfrei festge- 
stellt werden kann, ob der erste Datensatz und damit die ersten Daten manipuliert wurden 
Oder ob es sich nach wie vor urn authentische Daten handelt. 

Urn die Sicherheit vor unbefugtem Zugriff auf die Daten zu erhohen, verschlQsselt das erste 
Isicherheitsmodul 1.2 den zweiten Datensatz unter Verwendung eines zweiten kryptographi- 
schen SchlQssels, wobei ein dritter Datensatz entsteht. Dieser dritte Datensatz wird von dem 
ersten Sicherheitsmodul 1 .2 an das erste Mobilfunkmodul 1.1 Qbergeben. Das erste Mobil- 
funkmodul 1 .1 Qbertragt den dritten Datensatz dann Qber das Mobilfunknetz 3 an das zweite 
Mobilfunkmodul 2.1 der Datenzentrale 2. 

Das zweite Mobilfunkmodul 2.1 gibt den dritten Datensatz an eine damit verbundene zweite 
Sicherheitseinrichtung in Form eines zweiten Sicherheitsmoduls 2.2 weiter. Das zweite Si- 
cherheitsmodul 2.2 entschlQsselt den und dritten Datensatz unter Verwendung eines dritten 
kryptographischen SchlQssels, urn so wieder den zweiten Datensatz zu erhalten. Der dritte 
SchlQssel entspricht dabei dem zweiten SchlQssel. Es handelt sich hierbei im vorliegenden 
Fall urn einen zuvor ausschlielilich fOr diese Obertragungssitzung generierten geheimen Sit- 
zungsschlQssel. Dieser wurde zuvor separat in dem ersten Sicherheitsmodul 1.2 und dem 
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zweiten Sicherheitsmodul 2.2 generiert. Die Generierung und Verwendung solcher geheimer 
einmalig verwendeter SitzungsschlQssel ist an sich bekannt, sodass hierauf an dieser Stelle 
nicht naher eingegangen werden soli. 


Es versteht sich jedoch, dass bei anderen Varianten der Erfindung, sofem eine solche Absi- 
5 cherung erforderlich ist, auch ein anderer Absicherungsmechanismus gewShlt werden kann. 
Insbesondere kann bei Verwendung einer asymmefrischen VerschlQsselung der zweite kryp- 
tographische SchlQssel beispielsweise ein Sffentlicher SchlQssel des zweiten Sicherheitsmo- 
duls sein. Der dritte SchlQssel ist dann entsprechend der zugeh6rige private SchlQssel des 
zweiten Sicherheitsmoduls. 

10 Aus dem zweiten Datensatz extrahiert das zweite Sicherheitsmodul 2.2 den ersten Daten- 

•satz und die erste digitale Signatur. Anhand des ersten Datensatzes und eines dem ersten 
kryptographischen SchlQssel zugeordneten vierten kryptographischen Schlussels verifiziert 
das zweite Sicherheitsmodul 2.2 dann in an sich bekannter Weise die erste digitale Signatur, 
urn die Authentizitat des ersten Datensatzes und damit der ersten Daten festzustellen. 

15 Derselbe Ablaut ergibt sich in der anderen Richtung, wenn sicherheitsrelevante Daten von 
der Datenzentrale 2 an das Fahrzeug 1 Qbermittelt werden sollen. Hierbei fGhrt das zweite 
Sicherheitsmodul 2.2 dann die oben fQr das erste Sicherheitsmodul 1 .2 beschriebenen Ope- 
rationen durch und umgekehrt. 


Im Rahmen der Kommunikation zwischen dem Fahrzeug 1 und der Datenzentrale 2 findet 
20 eine starke wechseiseitige Authentifizierung der Kommunikationspartner unter Einsatz ent- 
sprechender kryptographischer Mittel statt, wobei insbesondere entsprechende kryp- 
Jtographische Zertifikate Verwendung finden. Dies geschieht wiederum unter Verwendung 
des ersten Sicherheitsmoduls 1 .2 und des zweiten Sicherheitsmoduls 2.2. Verfahren fur eine 
solche starke wechseiseitige Authentifizierung der Kommunikationspartner sind hinianglich 
25 bekannt, sodass hierauf nicht naher eingegangen werden soil. 



Figur 2 zeigt ein Blockschaltbild von Komponenten des Fahrzeugs 1 . Wie dieser Figur zu 
entnehmen ist, weist das erste Sicherheitsmodul 1 .2 eine erste Verarbeitungseinheit 1 .3 auf, 
die mit dem ersten Mobilfunkmodul 1.1 verbunden ist. Mit der ersten Verarbeitungseinheit 
1.3 ist weiterhin ein Kryptographiemodul 1.4 verbunden, welches die oben beschriebenen 
30 kryptographischen Mittel zur VerfQgung stellt und hierzu entsprechende Kryptographiedaten 
enthalt. Die Kryptographiedaten umfassen unter anderem kryptographischen Algorithmen 
und entsprechende kryptographische SchlQssel. Neben den kryptographischen Algorithmen 
und SchlQsseln umfassen die Kryptographiedaten des Kryptographiemoduls 1.4 weitere Da- 
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ten, wie beispielsweise ein Oder mehrere kryptographische Zertifikate entsprechender Zertifi- 
zieaingsinstanzen sowie gegebenenfalls ein oder mehrere eigene kryptographische Zertifika- 
te der Sicherheitseinrichtung 1 .2. 

Das Sicherheitsmodul 1 .2 ist zum Austausch wenigstens eines Teils der Kryptographiedaten 
5 ausgebildet, urn eine einfache und dauerhaft zuverlSssige Sicherung der Daten zu gew§hr~ 
leisten. Hierbei ist vorgesehen, dass neben den kryptographischen SchlQsseln und ^ryp- 
tographischen Zertifikaten auch derjeweils verwendete kryptographische Algorithmus ausge- 
tauscht werden kann, urn das System an geSnderte Sicherheitsanforderungen anpassen zu 
kSnnen. Die Implementierung und der Austausch der Kryptographiedaten erfolgt im Rahmen 
10 einer so genannten Public Key Infrastruktur (PKI), wie sie hinlSnglich bekannt ist und daher 
an dieser Stelle nicht weiter beschrieben werden soil. Es versteht sich insbesondere, dass 

•eine entsprechende Routine zur OberprGfung der Validitat der verwendeten kryptographi- 
schen Zertifikate vorgesehen ist. Geeignete derartige ClberprOfungsroutinen sind ebenfalls 
hinianglieh bekannt und sollen daher hier nicht naher beschrieben werden 


15 Das Kryptographiemodul 1 .4 wird sowohl zur VerschlQsselung zu speichernder Daten 

verwendet werden als auch zur VerschlQsselung zu Qbertragender Daten. Es versteht sich, 
dass je nach Anwendung, also beispielsweise je nachdem, ob Daten versandt oder 
gespeichert werden sollen, auch unterschiedliche kryptographische Verfahren angewendet 
werden kSnnen. 


20 Nach der erfolgreichen Obertragung des dritten Datensatzes erstellt das erste Sicherheits- 
modul 1.2 einen Protokolldatensatz, den es in einem mit der ersten Verarbeitungseinheit 1.3 

•verbundenen ersten Protokollspeicher 1.5 ablegt. Der Protokolldatensatz umfasst den ersten 
batensatz sowie die Qber dem ersten Datensatz in der oben beschriebenen Weise erstellte 
erste digitale Signatur. Der umfasst mit anderen Worten also die authentifizierten ersten Da- 
25 ten. Der erste Protokollspeicher 1 .5 kann dabei so gestaltet sein, dass der Protokolldaten- 
satz lediglich gelesen aber nicht verSndert werden kann. Weiterhin kann der erste Protokoll- 
speicher 1 .5 so dimensioniert sein, dass er samtliche Qber die Lebensdauer des ersten Si- 
cherheitsmoduls 1.2 oder des Fahrzeugs 1 zu erwartenden ProtokolldatensStze aufnehmen 
kann. 


30 Im vorliegenden Beispiel werden die ProtokolldatensStze im Klartext gespeichert. Es versteht 
sich jedoch, dass bei anderen Varianten der Erfindung vorgesehen sein kann, dass die Pro- 
tokolldatensatze in verschlQsselter Form gespeichert werden kflnnen, um sie vor unbefugter 
Einsicht zu schQtzen. 
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Im Folgenden wird unter Bezugnahme auf die Figuren 1 und 2 die Generierung der an die 
Datenzentrale 2 zu Qbertragenden sicherheitsrelevanten ersten Daten nSher beschrieben. 

Die ersten Daten umfassen zum einen erste Erfassungswerte einer ersten Erfassungsgrofte, 
die durch eine mit der ersten Verarbeitungseinheit 1 .3 verbundene erste Erfassungseinrich- 
5 tung 4 erfasst wurden. Bei den ersten Erfassungswerten handelt es sich urn die aktuellen 
Werte des Kilometerstands des Fahrzeugs 1 als erster Erfassungsgrolie. Diese Kilqmeter- 
werte werden von dem Kilometerzahler 4 des Fahrzeugs 1 als erster Erfassungseinrichtung 
erfasst und zu vorgegebenen Zeiten, beispielsweise in regelmafligen Abstanden, an die ers- 
te Verarbeitungseinheit 1.3 weitergegeben. 

10 Die erste Verarbeitungseinheit 1 .3 verknQpft diese Kilometerwerte mit einer fQr den Zeitpunkt 
^^ihrer Erfassung charakteristischen Erfassungszeitkennung, einem so genannten Zeitstempel, 
WjWindem sie den Kilometerwert und die Erfassungszeitkennung in einen ersten Kilometerdaten- 
satz schreibt. Hierzu greift sie auf ein Zeiterfassungsmodul 1 .6 des ersten Sicherheitsmoduls 
1 .2 zu, welches eine entsprechend zuverlSssige Zeitinformation liefert. Bei dem Zeiterfas- 
15 sungsmodul handelt es sich urn eine integrierte Echtzeituhr, die von Zeit zu Zeit mit einer 

entsprechend genauen Zeitquelle synchronisiert wird. Es versteht sich, dass es sich bei an- <■ 
deren Varianten der Erfindung ebenso um ein Modul handeln kann, das Gber eine geeignete 
Kommunikationsverbindung zu einer entsprechenden Instanz die Echtzeit abfragt. 


Die erste Verarbeitungseinheit 1.3 verknQpft die Kilometerwerte weiterhin mit einer fQr den 
20 Kilometerzahler 4 charakteristischen ersten Erfassungseinrichtungskennung, indem sie diese 
ebenfalls in den ersten Kilometerdatensatz schreibt. Hierbei handelt es sich um eine fur den 

*betreffenden Kilometerzahler 4 einmalige und eindeutige Identifikation, die gleichzeitig eine 
brste Quellenidentifikation fQr die Quelle der Kilometerwerte darstellt. Die erste Erfassungs- 
einrichtungskennung stellt gleichzeitig eine erste ErfassungsgrSlienkennung dar, da der Ki- 
25 lometerzahler 4 ausschliefilich Kilometerwerte liefert. Es versteht sich, dass bei anderen Er- 
fassungseinrichtungen, die unterschiedliche Erfassungsgrolien erfassen, den jeweiligen Er- 
fassungswerten gegebenenfalls mit einer entsprechenden ErfassungsgrOBenkennung ver- 
knQpft werden kfinnen. 


Es versteht sich, dass die vorgenannte VerknQpfung der Kilometerwerte mit der Erfassungs- 
30 zeitkennung und der Erfassungseinrichtungskennung durch kryptographische Mittel abgesi- 
chert werden kann. So kann beispielsweise vorgesehen sein, dass das erste Sicherheitsmo- 
dul 1.2 eine zweite digitale Signatur Qberdiesen Daten erstellt, sodass diese durch die ihnen 
dann beigefugte zweite digitale Signatur ebenfalls manipulationssichere miteinander ver- 
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knQpft sind. Ebenso kann natQrlich fQr beliebige andere einander zugeordnete Daten verfah- 
ren werden, um diese manipulationssicher miteinander zu verknGpfen. 

Der so generierte erste Kilometerdatensatz wird dann von der ersten Verarbeitungseinheit 
1.3 in einem mit ihr verbundenen ersten Speicher 1.7 abgelegt. 

5 Die ersten Daten umfassen weiterhin zweite Erfassungswerte einer zweiten Erfassungsgro- 
(ie und dritte Erfassungswerte einer dritten Erfassungsgrafte, die durch eine mit der ersten 
Verarbeitungseinheit 1 .3 verbundene zweite Erfassungseinrichtung 5 erfasst wurden. Bei 
den zweiten Erfassungswerten handelt es sich um die aktuellen Werte des Motorfilstands 
des Fahrzeugs 1 als zweiter ErfassungsgrSlie. Bei dritten Erfassungswerten handelt es sich 

10 um die aktuellen Werte der Bremsenqualitat des Fahrzeugs 1 als drifter ErfassungsgrSfie. 

•Diese Bremsenqualitatswerte werden von der FahrzeugQberwachungseinrichtung 5 des 
Fahrzeugs 1 als zweiter Erfassungseinrichtung erfasst und ebenfalls zu vorgegebenen Zei- 
ten, beispielsweise in regelma&igen Abstanden, an die erste Verarbeitungseinheit 1.3 wei- 
tergegeben. 

15 Die erste Verarbeitungseinheit 1 .3 verknGpft diese zweiten und dritten Erfassungswerte mit 
einer fQr den Zeitpunkt ihrer Erfassung charakteristischen Erfassungszeitkennung, indem sie 
den MotorOlstandswert, den Bremsenqualitatswert und die Erfassungszeitkennung in einen 
ersten Fahrzeugzustandsdatensatz schreibt. Hierzu greift sie auf ein Zeiterfassungsmodul 
1 .6 der ersten Sicherheitseinrichtung 1 .2 zu. 

20 Die erste Verarbeitungseinheit 1 .3 verkndpft die Motorolstandswerte und die Bremsenquali- 

•tatswerte weiterhin mit einer fQr die FahrzeugQberwachungseinrichtung 5 charakteristischen 
feweiten Erfassungseinrichtungskennung, indem sie diese ebenfalls in den ersten Fahrzeug- 
zustandsdatensatz schreibt. Hierbei handelt es sich um eine fur die betreffende Fahrzeug- 
Oberwachungseinrichtung 5 eihmalige und eindeutige Idehtifikation, die gleichzeitig eine 
25 zweite Quellenidentifikation fQr die Quelle der Motordlstandswerte und Bremsenqualitatswer- 
te darstellt. Weiterhin wird den jeweiligen Erfassungswerten eine entsprechenden Erfas- 
sungsgrofienkennung zugeordnet, indem diese entsprechend zugeordnet mit in den Fahr- 
zeugzustandsdatensatz geschrieben wird. 

Der so generierte erste Fahrzeugzustandsdatensatz wird dann von der ersten Verarbei- 
30 tungseinheit 1.3 ebenfalls in dem ersten Speicher 1 .7 abgelegt. 

Zu einem bestimmten vorgegebenen oder wahlbaren Zeitpunkt sollen dann die zwischenzeit- 
lich im ersten Speicher 1 .7 abgelegten KilometerdatensStze und Fahrzeugzustandsdatensat- 
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ze als erste Oberwachungsdaten an die Datenzentrale 2 Qbertragen werden. Die erste Ver- 
arbeitungseinheit 1 .3 liest hierzu die gespeicherten Kilometerdatensatze und Fahrzeugzu- 
standsdatensatze aus dem ersten Speicher 1.7 aus und schreibt sie in den ersten Datensatz. 

Die erste Verarbeitungseinheit 1 .3 erganzt den ersten Datensatz weiterhin urn eine dem ers- 
ten Sicherheitsmodul 1.2 zugeordnete einmalige und eindeutige erste Sicherheitsmoduliden- 
tifikation sowie urn einen unter Zugriff auf das erste Zeiterfassungsmodul 1 .6 generierten 
ersten Zeitstempel. Die erste Sicherheitsmodulidentifikation stelit dabei eine dritte Quellen- 
identifikation dar, wahrend der erste Zeitstempel den Zeitpunkt der Zusammenstellung der 
erste Oberwachungsdaten charakterisiert. Weiterhin erganzt die erste Verarbeitungseinheit 
1 .3 den ersten Datensatz urn eine einmalige und eindeutige Identifikation des ersten Mobil- 
funkmoduls 1.1, die ebenfails als Quellenidentifikation dient. 

Jschlielilich erganzt die erste Verarbeitung einer 1 .3 den ersten Datensatz um eine Obertra- 
gungsidentifikation in Form einer fortlaufenden Transaktionsnummer, die dem laufenden 
Obertragungsvorgang eindeutig zugeordnet ist. 

Anschlieftend wird der erste Datensatz in der oben beschriebenen Weise authentifiziert und 
in Form des dritten Datensatzes an die Datenzentrale 2 Qbertragen. 

Sobald die Datenzentrale 2 die Authentizitat des ersten Datensatzes QberprOft hat, sendet 
sie einen entsprechenden Bestatigungsdatensatz an das Fahrzeug 1. Dieser Bestatigungs- 
datensatz umfasst eine dem zweiten Sicherheitsmodul zugeordnete zweiten Sicherheitsmo- 
dulidentifikation. Die zweite Sicherheitsmodulidentifikation stelit dabei eine erste Empfanger- 
identifikation dar, die den Empfanger des ersten Datensatzes kennzeichnet. 

Die erste Verarbeitungseinheit 1.3 schreibt diesen Bestatigungsdatensatz zusammen mit 
einem fiir den Zeitpunkt des Erhalts des Bestatigungsdatensatzes charakteristischen zweiten 
Zeitstempel in den vorhandenen ersten Datensatz und authentifiziert diesen dann wieder in 
der oben beschriebenen Weise, indem sie eine digitale Signatur Qber dem ersten Datensatz 
bildet. Diese digitale Signatur wird dann zusammen mit dem ersten Datensatzes in einen 
ersten Protokoildatensatz geschrieben, der dann in der oben beschriebenen Weise in den 
ersten Protokollspeicher 1 .5 eingebracht wird. 

Der erste Protokoildatensatz wird anschlieliend an die Datenzentrale 2 Qbermittelt, wo er 
nach entsprechender OberprQfung seiner Authentizitat in einem mit dem zweiten Sicher- 
heitsmodul 2.2 verbundenen zweiten Protokollspeicher 2.3 gespeichert wird. Es versteht 
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sich, dass die Datenzentrale 2 bei anderen Varianten der Erfindung auch einen solchen Pro- 
tokolldatensatz selbst generieren und in den zweiten Protokollspeicher ablegen kann. 

Dieser erste Protokoildatensatz authentifiziert somit in vorteilhafter Weise sowohl die Quellen 
und den Empfanger derjeweiligen Daten, bestimmte Erfassungs- und Verarbeitungszeit- 
5 punkte sowie die Obertragung selbst, sodass die mit diesen Daten verbundenen Sachverhal- 
te zu einem spateren Zeitpunkt zweifelsfrei nachgewiesen werden kannen. insbesondere ist 
es mSglich, den Empfang der ersten Daten in der Datenzentrale 2 nachzuweisen. 

Nach Erhalt und OberprQfung der Authentizitat der ersten Daten in der Datenzentrale 2 wer- 
den diese alleine mit dem Sicherheitsmodul 2.2 verbundene Analyseeinrichtung 2.4 der Da- 
10 tenzentrale 2 Qbermittelt. Diese analysiert die Qbermittelten ersten Daten. Hierbei berGcksich- 
^^^tigt die unter anderem statistische Daten, welche nicht von dem Fahrzeug 1 stammen. 

Die Analyseeinrichtung 2.4 lost zum einen in Abhangigkeit von den Qbermittelten Kilometer- 
werten als erste Oberwachungsreaktion einen ersten Abrechnungsvorgang fOr die gefahre- 
nen Kilometer durch eine mit dem zweiten Sicherheitsmodul 2.2 verbundenes Abrech- 
15 nungsmodul 2.5 als erster Oberwachungsreaktionseinrichtung aus. 

Als zweite Oberwachungsreaktion I5st die Analyseeinrichtung 2.4 in Abhangigkeit von der 
Analyse der ersten Daten die Generierung von Betriebsbeeinflussungsdaten fOr das Fahr- 
zeug 1 durch eine mit dem zweiten Sicherheitsmodul 2,2 verbundene zweite Oberwachungs- 
reaktionseinrichtung 2.6 aus. Diese Betriebsbeeinflussungsdaten werden in einem weiteren 
20 ersten Datensatz von der Datenzentrale 2 Qber das Mobilfunknetz 3 an das Fahrzeug 1 0- 

•bermittelt. Hierbei wird analog zu der oben beschriebenen Obermittlung der ersten Daten von 
Idem Fahrzeug 1 zu Datenzentrale 2 verfahren, sodass diesbezuglich auf die obigen Ausfuh- 
rungen verwiesen wird. Insbesondere werden die ersten Daten in analoger Weise authentifi- 
zierten und es wird ein entsprechender Protokoildatensatz fur die Obertragung generiert und 
25 sowohl im Fahrzeug 1 als auch in der Datenzentrale 2 gespeichert 

Die Betriebsbeeinflussungsdaten umfassen zum einen in Abhangigkeit von den Qbermittelten 
Kilometerwerten einen Hinweis Qber die aktuell gefahrenen Kilometer, den hierfGr aktuellen 
Tarif sowie den aktuellen Abrechnungswert. Dieser Hinweis wird nach Verifizierung der Au- 
thentizitat der Betriebsbeeinflussungsdaten im ersten Sicherheitsmodul 1.2 an eine mit dem 
30 ersten Sicherheitsmodul 1 .2 verbundene Betriebsbeeinflussungseinrichtung 6 weitergege- 
ben, welche diesen wiederum Qber ein damit verbundenes Display 7 an den Nutzer des 
Fahrzeugs 1 ausgibt. Die Betriebsbeeinflussungsdaten k6nnen weiterhin in Abhangigkeit von 
der Analyse der Qbermittelten FahrzeugQberwachungsdaten (MotorSlstand und Bremsenqua- 
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litat) im Falle des Drohens kritischer Zustande entsprechende Warnhinweise enthalten, die 
ebenfalls Qber das Display 7 an den Nutzer des Fahrzeugs 1 ausgegeben werden. 

Schliefilich Idst die Analyseeinrichtung 2.4 als dritte Oberwachungsreaktion in Abhangigkeit 
von der Analyse der ersten Daten die DurchfQhrung eines Wartungsprotokolls fQr das Fahr- 
zeug 1 durch eine mit dem zweiten Sicherheitsmodul 2.2 verbundene dritte Oberwachungs- 
reaktionseinrichtung in Form einer Fahrzeugmanagementeinrichtung 2.7 aus. Hierbei kann in 
AbhSngigkeit von den Oberwachungsdaten unter anderem die Wartung des Fahrzeuges 1 
bei RQckgabe geplant und vorbereitet werden. Insbesondere kSnnen erforderliche Ersatzteile 
oder dergleichen bereits vorab bestellt werden, urn die erforderliche Zeit fQr die Wartung so 
kurz wie mSglich zu halten und damit die Ausfallzeiten des Fahrzeugs 1 zu verringern. 

Die Erfassungseinrichtungen 4 und 5, das erste Sicherheitsmodul 1 .2 und das erste Mobil- 
ffunkmodul 1 .1 sind in einer vor unbefugtem Zugriff geschutzten sicheren Umgebung 1 .3 an- 
geordnet, um den unbefugten Zugriff nicht nur auf die Daten des Sicherheitsmoduls ein vom 
zweiten sondem auch auf die Daten, die von und zu den Erfassungseinrichtungen 4 und 5 
bzw. dem ersten Mobilfunkmodul 1.1 geiiefert werden, wirksam zu unterbinden. 

Die sichere Umgebung 1 .3 wird zum einen physisch durch sichere GehSuse der Erfassungs- 
einrichtungen 4 und 5, des Mobilfunkmoduls 1.1 und des ersten Sicherheitsmoduls 1.2 her- 
gestellt, die mit hinianglich bekannten Mittel zur Erfassung von Manipulationen am Gehause 
ausgestattet sind. Zum anderen wird sie logisch durch ein entsprechend abgesichertes 
Kommunikationsprotokoll zwischen diesen Komponenten hergestellt So wird bei jeder 
Kommunikation zwischen diesen Komponenten Qber eine entsprechend starke gegenseitige 
. Authentifizierung ein gesicherter Kommunikationskanal aufgebaut. Es versteht sich, dass die 
■Komponenten hierzu Qber entsprechende Kommunikationsmittel verfugen, welche die be- 
schriebenen Sicherheitsfunktionalitaten zur VerfQgung stellen. 

Es versteht sich jedoch, dass bei anderen Varianten der Erfindung je nach den zu stellenden 
Sicherheitsanforderungen keine oder lediglich einzelne der genannten Komponenten in einer 
entsprechenden sicheren Umgebung angeordnet sein kdnnen. 

Figur 3 zeigt ein weiteres bevorzugtes Ausfuhrungsbeispiel der erfindungsgemaiien Anord- 
nung, die in ihrer grundsatzlichen Funktion derjenigen aus Figur 1 gleicht, sodass hier ledig- 
lich auf die Unterschiede eingegangen werden soil. 

Ein Unterschied besteht darin, dass es sich bei der mit dem ersten Sicherheitsmodul 1.2' 
verbundenen ersten Obertragungseinrichtung des Fahrzeugs 1' um eine kurzreichweitige 
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erste Infrarotschnittstelle 1.1' handelt. Die Infrarotschnittstelle 1.1" arbeitet dabei nach dem 
IrDA-Standard. Es versteht sich jedoch, dass bei anderen Varianten der Erfindung auch be- 
liebige andere Obertragungsverfahren mit kurzer Reichweite, wie beispielsweise Bluetooth 
etc., verwendet werden kSnnen. 

Die zweite Obertragungseinrichtung ist von einem Serviceterminal 8 gebildet. Dieses Servi- 
ceterminal 8 umfasst eine entsprechende zweite Infrarotschnittstelle 8.1 und ein damit ver- 
bundenes Kommunikationsmodul 8.2, welches die von der zweiten Infrarotschnittstelle 8.1 
empfangenen ersten Daten tiber ein Telekommunikationsnetz 9 an die Datenzentrale 2' Q- 
bermittelt. 

Die Generierung, Authentifizierung, Obermittlung und Protokollierung der sicherheitsrelevan- 
ten ersten Daten von dem Fahrzeug 1" zur Datenzentrale 2 1 und umgekehrt erfolgt analog 
| der oben in Zusammenhang mit Figur 1 beschriebenen Ausfuhrungsform, sodass hier ledig- 
lich auf die obigen AusfCihrungen verwiesen wird. 

Ein weiterer Unterschied besteht darin, dass das erste Sicherheitsmodul 1.2' mit einer Fahr- 
zeugmanagementQberwachungseinrichtung 10 verbunden ist, die wiederum mit der Fahr- 
zeugmanagementeinrichtung 11 des Fahrzeugs 1' verbunden ist. Die Fahrzeugmanage- 
menteinrichtung 1 1 stellt dabei diejenige Einrichtung dar, welche die Funktionen der einzel- 
nen Komponenten des Fahrzeugs steuert. Sie umfasst insbesondere das Motormanagement 
etc. 

Die FahrzeugmanagementUberwachungseinrichtung 10 Qberwacht in diesem Fall als dritte 
Erfassungseinrichtung unter anderem die Funktion der Softwarekomponenten der Fahr- 
feeugmanagementeinrichtung 11. Die von der Fahrzeugmanagementuberwachungseinrich- 
tung 10 erfassten Daten werden als dritte Erfassungswerte und damit als Oberwachungsda- 
ten in der oben beschriebenen Weise in einen ersten Datensatz eingebracht, authentifiziert 
und an die Datenzentrale 2' Qbermittelt. 

In AbhSngigkeit von der Analyse der Qbermittelten Oberwachungsdaten in der Datenzentrale 
2 1 generiert, authentifizierten und sendet die Datenzentrale 2' entsprechende Betriebsbeein- 
flussungsdaten in der oben beschriebenen Weise Ober das Serviceterminal 8 an das Fahr- 
zeug 1'. Bei der Analyse der Oberwachungsdaten OberprQft die Datenzentrale 2' nicht nur die 
Integritat der Fahrzeugmanagementeinrichtung 1 1. Sie QberprQft unter anderem auch die 
aktuelle Version der durch die Fahrzeugmanagementeinrichtung 1 1 verwendeten Software- 
module. ExistiertfQr eines der Softwaremodule eine neue Version, wird diese als Bestandteil 
der Betriebsbeeinflussungsdaten an das Fahrzeug 1' Qbersandt. 
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Nach dem das erste Sicherheitsmodul 1.2' die Authentizitat der Betriebsbeelnflussungsdaten 
in der oben beschriebenen Weise verifiziert hat, gibt es die Betriebsbeeinflussungsdaten, 
insbesondere das neue Softwaremodul an die Fahrzeugmanagementuberwachungseinrich- 
tung 10weiter. Diese.FahrzeugmanagementQberwachungseinrichtung 10 stellt gleichzeitig 
eine Betriebsbeeinflussungseinrichtung dar, indem sie den Austausch des nichtmehr aktuel- 
len alten Softwaremoduls durch das neue Softwaremodul in der Fahrzeugmanagementein- 
richtung 1 1 steuert. , 

Auch die ObertragUng der Betriebsbeeinflussungsdaten von der Datenzentrale 2' zum Fahr- 
zeug 1 wird in der oben beschriebenen Weise protokolliert. Hierbei wird in den entsprechen- 
den ersten Datensatz zudem eine identifikation des Serviceterminals 8 als Quellenidentifika- 
tion aufgenommen, um auch die Obertragung Dber dieses Serviceterminal 8 zu einem spate- 
ren zweifelsfrei nachvollziehen zu konnen. 

Insbesondere wird hier die Identifikation des ersten Sicherheitsmoduls 1.2' als Empfanger- 
identifikation in den ersten Datensatz des Protokolldatensatzes aufgenommen. Dies kann in 
Fallen, in denen der Austausch des betreffenden Softwaremoduls kostenpflichtig ist, spater 
als Nachweis dienen, dass der Softwaremodul tatsachlich im Fahrzeug 1' empfangen wurde. 
Gegebenenfalls kann auch eine entsprechende Austauschbetatigung in den ersten Daten- 
satz aufgenommen werden, um auch den tatsachlichen Austausch zweifelsfrei nachvollzieh- 
bar zu machen. 

Es versteht sich, dass in solchen Fallen eines kostenpflichtigen Wartung der Fahrzeugsoft- 
ware Oder auch bei anderen kostenpflichtigen Betriebsbeeinflussungen in der Datenzentrale 

.mit Erhalt einer entsprechenden Empfangsbestatigung vom Fahrzeug 1' ein entsprechender 

BAbrechnungsvorgang ausgelSst werden kann. 

Die Kommunikation zwischen dem Fahrzeug 1' und der Datenzentrale 2' lauft wie die oben 
im Zusammenhang mit Figur 1 beschriebene Kommunikation ab. Insbesondere findet jeweils 
eine starke wechselseitige Authentifizierung unter Verwendung kryptographischer Mittel statt, 
sodass in Verbindung mit der Authentifizierung der ersten Daten jeweils gew§hrleistet ist, 
dass nur autorisierte und authentische Daten ausgetauscht und verwendet werden. 

Mit dem beschriebenen AusfQhrungsbeispiel lasst sich beisplelsweise ein flachendeckendes 
Netz von Serviceterminals 8 realisieren, uber das eine einfache Oberwachung und Fernwar- 
tung von Fahrzeugen mSglich ist. 
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Das AusfQhrungsbeispiel wurde vorstehend anhand einer drahtlosen Verbindung zum Servi- 
ceterminal 8 beschrieben. Es versteht sich jedoch, dass bei anderen Varianten auch eine 
drahtgebundene Verbindung zum Serviceterminal vorgesehen sein kann, wie dies in Figur 3 
durch den Pfeil 12 angedeutet ist. So kann beispielsweise ein Datenkabel verwendet wer- 
den, welches das Fahrzeug Qber entsprechende serielle Schnittstellen mit der zweiten Ober- 
tragungseinrichtung des Serviceterminals verbindet. 

Weiterhin versteht es sich, dass es sich bei anderen Varianten der Erfindung bei dem Servi- 
ceterminal ebenfalls urn eine mobile Einrichtung handeln kann, die dann gegebenenfalls fi- 
ber ein Mobilfunknetz Oder dergleichen eine Verbindung zur Datenzentrale herstellt. Eine 
derartige Variante der Erfindung eignet sich besonders fur den Einsatz in Zusammenhang 
mit Pannendiensten Oder dergleichen. 

Ischlielilich versteht es sich, dass das erste Sicherheitsmodul nicht notwendigerweise Be- 
standteil der mobilen Einheit sein muss. So ist es im Zusammenhang mit den soeben ge- 
nannten Serviceterminals, insbesondere den mobilen Serviceterminals, mSglich, das erste 
Sicherheitsmodul Oder Teile davon, beispielsweise das Kryptographiemodul, in dem Service- 
terminal zu.integrieren. Dabei kann dann vorgesehen sein, dass die mobile Einrichtung bei- 
spielsweise neben den Erfassungseinrichtungen sowie einer entsprechenden Schnittstelle 
zur Verbindung mit dem Serviceterminal lediglich den ersten Protokollspeicher aufweist, in 
den der Protokolldatensatz durch das Serviceterminal geschrieben wird. 

Figur 4 zeigt ein weiteres bevorzugtes AusfQhrungsbeispiei der erfindungsgemaften Anord- 
nung, die in ihrer grundsatzlichen Funktion derjenigen aus Figur 1 gleicht, sodass hier ledig- 
^lich auf die Unterschiede eingegangen werden soil. 

Ein Unterschied besteht darin, dass das erste Sicherheitsmodul 1 .2" eines Lastkraftwagens 
als erstem Fahrzeug 1" Qber einen Fahrzeugdatenbus 13 nicht nur mit einer Erfassungsein- 
richtung 14 des Fahrzeugs 1" verbunden ist, Qber die Zustandsdaten des Fahrzeugs, unter 
anderem dessen Position, ermittelt werden. Vielmehr ist das erste Sicherheitsmodul 1.2" 
auch mit einer Erfassungseinrichtung 15.1 eines geladenen ersten Containers 15 und einer 
Erfassungseinrichtung 16.1 eines geladenen zweiten Containers 16 verbunden. Ober die 
Erfassungseinrichtungen 15.1 und 16.1 werden jeweils Zustandsdaten des Containers 15 
bzw. 16 und seiner Ladung erfasst. 

Bei dem Fahrzeugdatenbus 13 handelt es sich im vorliegenden Fall urn einen drahtlosen 
Datenbus. Es versteht sich jedoch, dass bei anderen Varianten der vorliegenden Erfindung 
auch ein drahtgebundener Datenbus verwendet werden kann. 
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Die Erfassungswerte der Erfassungseinrichtungen 14, 15.1 und 16.1 werden an das erste 
Sicherheitsmodul 1 .2" weitergegeben und dann in der oben in Zusammenhang mit Figur 1 
beschriebenen Weise Qber ein mit dem ersten Sicherheitsmodul 1 .2" verbundenes erstes 
Mobilfunkmodul an eine - nicht dargestellte - entfernte Datenzentrale Qbermittelt. 

Hiermit ist es nicht nur mSglich, den Zustand des Fahrzeugs 1" zu Qberwachen und gegebe- 
nenfalls zu beeinflussen. Vielmehr ist es mit einem einzigen Sicherheitsmodul 1.2" auch 
m5glich, den Zustand der Ladung des Fahrzeugs 1" zu Qberwachen und gegebenenfalls zu 
beeinflussen. Handelt es sich beispielsweise bei dem Container 15 urn einen KQhlcontainer 
und wird Qber die Erfassungseinrichtung ein Anstieg der Temperatur im Container 15 Qber 
einen vorgegebenen Grenzwert ermittelt, so kann in der oben beschriebenen Weise Qber die 
Datenzentrale eine Betriebsbeeinflussung erfolgen. Hierzu kann beispielsweise durch ent- 
sprechende von der Datenzentrale Qbermittelte Betriebsbeeinflussungsdaten die Kuhlleis- 
Itung des KQhlaggregats 15.2 des Containers 15 erhfiht werden. Zudem kann durch die ge- 
speicherten und in der oben beschriebenen Weise authentifizierten Protokolldatensatze ge- 
gebenenfalls zweifelsfrei der Temperaturverlauf im Inneren des Containers 15 nachgewiesen 
werden. Dies kann beispielsweise beim Transport von verderblichen Lebensmitteln, wie 
Fleisch oder dergleichen, dazu verwendet werden, nachzuweisen, dass die Temperatur der 
Lebensmittel fur die Zeit, die sie im Inneren des Containers 15 aufbewahrt wurden, stets un- 
terhalb vorgeschriebener Grenzwerte lag. 

Weiterhin ist es durch die Ermittlung der Position des Fahrzeugs 1" durch die Erfassungsein- 
richtung 14 insbesondere m6glich, den Standort der Container 15 und 16 nachzuvbllziehen. 
Insbesondere konnen diese Erkenntnisse in eine Qbergeordnete Logistikplanung einflielien. 

■Die Positionsbestimmung durch die Erfassungseinrichtung 14 kann in beliebiger bekannter 
Weise erfolgen. So kann die Erfassungseinrichtung 14 ein entsprechendes GPS-Modul. E- 
benso kann aber auch in bekannter Weise eine Positionsbestimmung Qber das Mobilfunk- 
netz 3" erfolgen. 

Auch hier sei erwahnt, dass die Kommunikation zwischen dem Fahrzeug 1" und der Daten- 
zentrale wie die oben im Zusammenhang mit Figur 1 beschriebene Kommunikation ablSuft. 
Insbesondere findet jeweils eine starke wechselseitige Authentifizierung unter Verwendung 
kryptographischer Mittel statt, sodass in Verbindung mit der Authentifizierung der ersten Da- 
ten jeweils gewahrleistet ist, dass nur autorisierte und authentische Daten ausgetauscht und 
verwendet werden. 
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Die vorliegende Erfindung wurde vorstehend ausschlielilich anhand von Beispielen fQr Fahr- 
zeuge beschrieben. Es versteht sich jedoch, dass Erfindung auch im Zusammenhang mit 
beliebigen anderen beweglichen Einrichtungen, wie beispielsweise Containern etc. zur An- 
wendung kommen kann. 



a* - 
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PatentansprOche 
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1 . Verfahren zum Obertragen von Daten zwischen elner mobilen ersten Einrichtung (1 ; 
1'; 1"), insbesondere einem Fahrzeug, und einer von der ersten Einrichtung (1; V; 1") 
zumindest zeitweise entfernten Datenzentrale (2; 2 1 ), wobei die Obertragung der Da- 
ten Qber wenigstens eine mobile erste Obertragungseinrichtung (1.1; 1.1'; 1 M 1") er- 
folgt, dadurch gekennzeichnet, dass die Qbertragenen Daten erste Daten umfassen, 
die durch kryptographische Mittel authentifiziert werden. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die ersten Daten zur Au~ 
thentifizierung einer ersten Quelle (1.2, 4, 5; 8) der ersten Daten eine erste Quellen- 
identifikation umfassen. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die ersten Daten 
zur Authentifizierung eines ersten EmpfSngers (2.2) der ersten Daten^eine erste Emp- 
fangeridentifikation umfassen. 

4. Verfahren nach einem der vorhergehenden AnsprQche, dadurch gekennzeichnet, 
15 dass die ersten Daten zur Authentifizierung der Obertragung der ersten Daten eine 

Obertragungsidentifikation umfassen. 

5. Verfahren nach einem der vorhergehenden AnsprQche, dadurch gekennzeichnet, 
dass die ersten Daten wenigstens eine fQr ein vorgebbares Ereignis charakteristische 
Zeitkennung umfassen. 



• 


6. Verfahren nach einem der vorhergehenden AnsprQche, dadurch gekennzeichnet, 
dass die authentifizierten ersten Daten in einen Protokolldatensatz eingefQgt werden, 
der in der ersten Einrichtung (1; 1'; 1") und/oder der Datenzentrale (2; 2') gespeichert 
wird. 

7. Verfahren nach einem der vorhergehenden AnsprQche, dadurch gekennzeichnet, 

25 dass die ersten Daten unter Verwendung wenigstens einer ersten digitalen Signatur 

authentifiziert werden. 

8. Verfahren nach einem der vorhergehenden AnsprQche, dadurch gekennzeichnet, 
dass die ersten Daten von der ersten Einrichtung (1; T; 1") zur Datenzentrale (2; 2') 
Qbertragene erste Oberwachungsdaten umfassen, die wenigstens einen ersten Er- 
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fassungswert einer ersten ErfassungsgrSfte umfassen, der von einer ersten Erfas- 
sungseinrichtung (4, 5; 10; 14, 15.1, 16.1) der ersten Einrichtung (1; 1'; 1") erfasst 
wurde. 

9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die erste Erfassungsgro- 
(ie eine Zustandsgrdfte der ersten Einrichtung (1; 1'; 1") ist. 

10. Verfahren nach einem der vorhergehenden AnsprQche, dadurch gekennzeichnet, 
dass die ersten Daten wenigstens Betriebsbeeinflussungsdaten umfassen, die zur 
Beeinflussung des Betriebs der ersten Einrichtung (1; 1'; 1") an die erste Einrichtung 
(1 ; 1 '; 1 ") Obermittelt werden. 

1 1 . Verfahren nach einem der vorhergehenden AnsprQche, dadurch gekennzeichnet, 
dass die Daten Qber wenigstens eine zweite DatenQbertragungseinrichtung (3.1; 8.2) 
Qbertragen werden. 

12. Verfahren zur Oberwachung einer mobilen ersten Einrichtung, insbesondere eines 
Fahrzeugs, bei dem zwischen der mobilen ersten Einrichtung (1; 1'; 1") und einer von 
der ersten Einrichtung (1; 1'; 1") zumindest zeitweise entfernten Datenzentrale (2; 2') 
Qber wenigstens eine mobile erste Qbertragungseinrichtung (1.1; 1.1'; ,1.1") erste Da- 
ten mit einem Verfahren nach einem der vorhergehenden AnsprQche Qbertragen 
werden, dadurch gekennzeichnet, dass die ersten Daten von der ersten Einrichtung 
(1; 1'; 1") zur Datenzentrale (2; 2') Qbertragene erste Gberwachungsdaten umfassen, 
wobei 

die ersten Gberwachungsdaten wenigstens einen ersten Erfassungswert einer 
ersten Erfassungsgr6Re umfassen, der von einer ersten Erfassungseinrichtung 
(4, 5; 10; 14, 15.1, 16.1) der ersten Einrichtung erfasst wurde, 

die ersten Gberwachungsdaten in der Datenzentrale (2; 2') verifiziert werden und 

die ersten Gberwachungsdaten bei erfolgreicher Verifikation in der Datenzentrale 
(2; 2') analysiert werden. 

13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass in der Datenzentrale (2; 
Z) in Abhangigkeit von der Analyse der ersten Gberwachungsdaten eine erste 
Gberwachungsreaktion ausgelSst wird. , 
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14. Verfahren nach Ansg^uch 13, dadurch gekennzeichnet, dass die erste Oberwa- 
chungsreaktion einen Abrechnungsvorgang umfasst. 

15. Verfahren nach Anspruch 13 oder 14, dadurch gekennzeichnet, dass die erste Ober- 
wachungsreaktion die Generierung von Betriebsbeeinflussungsdaten umfasst, die zur 
Beeinfiussung des Betriebs der ersten Einrichtung (1; V; 1") an die erste Einrichtung 
(1 ; 1 1 ") Qbermittelt werden. 

16. Verfahren nach einem der AnsprQche 13 bis 15, dadurch gekennzeichnet, dass bei 
der Analyse weitere, nicht von der ersten Einrichtung (1; 1'; 1") Qbermittelte Daten be- 
rucksichtigt werden . 

.17. Anordnung zum Obertragen von Daten zwischen einer mobilen ersten Einrichtung, 
m insbesondere einem Fahrzeug, und einer von der ersten Einrichtung (1 ; 1'; 1") zu- 

* mindest zeitweise entfernten Datenzentrale (2; 2'), wobei zur Obertragung der Daten 

wenigstens eine mobile erste Obertragungseinribhtung (1.1; 1.1"; 1.1") vorgesehen 
ist, dadurch gekennzeichnet, dass die Qbertragenen Dgten erste Daten umfassen und 
wenigstens eine Sicherheitseinrichtung (1.2, 2.2; 1.2'; 1.2") vorgesehen ist, die zum 
Generieren eines die ersten Daten darstellenden ersten Datensatzes und zum Au- 
thentifizieren der ersten Daten durch kryptographische Mittel ausgebildet ist. 

18. Anordnung nach Anspruch 17, dadurch gekennzeichnet, dass die Sicherheitseinrich- 
tung (1 .2, 2.2; 1 .2; 1 .2") zur Authentifizierung einer ersten Quelle (1 .2, 4, 5; 8) der 
ersten Daten zum Einbringen einer ersten Quellenidentifikation in den ersten Daten- 
satz ausgebildet ist. 

^19. Anordnung nach Anspruch 17 oder 18, dadurch gekennzeichnet, dass die Sicher- 
heitseinrichtung (1.2, 2.2; 1.2'; 1.2") zur Authentifizierung eines ersten Empfangers 
(2.2) der ersten Daten zum Einbringen einer ersten Empfangeridentifikation in den 
ersten Datensatz ausgebildet ist. 

20. Anordnung nach einem der AnsprQche 17 bis 19, dadurch gekennzeichnet, dass die 
Sicherheitseinrichtung (1.2; 1.2'; 1.2") zur Authentifizierung der Obertragung der ers- 
ten Daten zum Einbringen einer Obertragungsidentifikation in den ersten Datensatz 
ausgebildet ist. 

21. Anordnung nach einem der AnsprQche 17 bis 20, dadurch gekennzeichnet, dass die 
Sicherheitseinrichtung (1.2, 2.2; 1.2'; 1.2") zum Einbringen wenigstens einer fQrein 
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vorgebbares Ereignis charakteristischen Zeitkennung in den ersten Datensatz aus- 
gebildet ist. 

22. Anordnung nach einem der AnsprQche 17 bis 21 , dadurch gekennzeichnet, dass die 
Sicherheitseinrichtung (1.2, 2.2; 1.2'; 1.2") zum Einbringen der authentifizierten ersten 
Daten in einen Protokolldatensatz ausgebildet ist und dass die erste Einrichtung (1; 
1'; 1") einen ersten Protokollspeicher (1.5) zum Speichern des Protokoildatensatzes 
aufweist und/oder die Datenzentrale (2; 2') einen zweiten Protokollspeicher (2.3) zum 
Speichern des Protokoildatensatzes aulweist. 

23. Anordnung nach einem der AnsprQche 17 bis 22, dadurch gekennzeichnet, dass die 
Sicherheitseinrichtung (1.2, 2.2; 1.2'; 1.2") zur Bildung einer ersten digitalen Signatur 
unter Verwendung der ersten Daten ausgebildet ist. 

24. Anordnung nach einem der AnsprQche 17 bis 23, dadurch gekennzeichnet, dass die 
erste Einrichtung "(1; 1'; 1") eine erste Sicherheitseinrichtung (1.2; l.Z; 1.2") umfasst 
und/oder die Datenzentrale (2; 2') eine zweite Sicherheitseinrichtung (2.2) umfasst. 

25. Anordnung nach einem der AnsprQche 17 bis 24, dadurch gekennzeichnet, dass die 
ersten Daten von der ersten Einrichtung (1; 1'; 1") zur Datenzentrale (2; 2') Qbertra- 
gene erste Oberwachungsdaten umfassen, die wenigstens einen ersten Erfassungs- 
wert einer ersten Erfassungsgrofie umfassen, wobei die erste Einrichtung eine erste 
Erfassungseinrichtung (4, 5; 10; 14, 15.1, 16.1) zur Erfassung des ersten Erfas- 
sungswerts umfasst. 

26. Anordnung nach Anspruch 25, dadurch gekennzeichnet, dass die erste Erfassungs- 
einrichtung (4, 5; 10; 14, 15.1, 16.1) zur Erfassung einer Zustandsgrdfie der ersten 
Einrichtung (1; 1'; 1") als erster Erfassungsgrolie ausgebildet ist. 

27. Anordnung nach einem der AnsprQche 17 bis 26, dadurch gekennzeichnet, dass die 
ersten Daten von der Datenzentrale (2; 2') zur ersten Einrichtung (1; 1'; 1") Qbertra- 
gene Betriebsbeeinflussungsdaten umfassen, wobei die erste Einrichtung (1; V; 1") 
eine Betriebsbeeinflussungseinrichtung (6; 10; 15.1) zur Beeinflussung des Betriebs 
der ersten Einrichtung (1; 1'; 1", 15) in Abhangigkeit von den Betriebsbeeinflussungs- 
daten aufweist. 


KA/nw 030992 


+ • 

28. Anordnung nach einem der AnsprQche 17 bis 27, dadurch gekennzeichnet, dass zur 
DatenQbertragung zwischen der ersten Einrichtung (1; I 1 ) und der Datenzentrale (2; 
2 1 ) wenigstens eine zweite DatenQbertragungseinrichtung (3.1; 8.2) vorgesehen ist. 

29. Anordnung zur Oberwachung einer mobilen ersten Einrichtung, insbesondere eines 
Fahrzeugs, mit einer Anordnung zur Obertragung von ersten Daten nach einem der 
AnsprQche 17 bis 28, dadurch gekennzeichnet, dass 

die ersten Daten von der ersten Einrichtung (1; 1'; 1") zur Datenzentrale Obertra- 
gene (2; 2') erste Oberwachungsdaten umfassen, die wenigstens einen ersten 
Erfassungswert einer ersten ErfassungsgrdfJe umfassen, wobei die erste Einrich- 
tung (1; 1'; 1") eine erste Erfassungseinrichtung (4, 5; 10; 14, 15.1, 16.1) zur Er- 
fassung des ersten Erfassungswerts umfasst, 

die Datenzentrale (2; 2') eine zweite Sicherheitseinrichtung (2.2) zum Verifizieren 
der ersten Oberwachungsdaten aufweist und 

die Datenzentrale (2; Z) eine mit der zweiten Sicherheitseinrichtung (2.2) ver- 
bundene Anaiyseeinrichtung (2.4) zum Analysieren der ersten Oberwachungsda- 
ten in AbhSngigkeit vom Ergebnis der Verifikation aufweist. 

30. Anordnung nach Anspruch 29, dadurch gekennzeichnet, dass wenigstens eine mit 
der Anaiyseeinrichtung (2.4) verbindbare Oberwachungsreaktionseinrichtung (2.5, 
2.6, 2.7) zur DurchfOhrung einer ersten Oberwachungsreaktion vorgesehen ist und 
die Anaiyseeinrichtung (2.4) zum Ansteuern der Oberwachungsreaktionseinrichtung 

} (2.5, 2.6, 2.7) zum AuslSsen einer ersten Oberwachungsreaktion in Abhangigkeit vom 

Ergebnis der Analyse der ersten Oberwachungsdaten ausgebildet ist. 

31 . Anordnung nach Anspruch 30, dadurch gekennzeichnet, dass als Oberwachungsre- 
aktionseinrichtung eine mit der Anaiyseeinrichtung (2.4) verbindbare Abrechnungs- 
einrichtung (2.5) vorgesehen ist. 

32. Anordnung nach Anspruch 30 Oder 31 , dadurch gekennzeichnet, dass 

die Oberwachungsreaktionseinrichtung (2.6, 2.7) zur Generierung von Betriebs- 
beeinflussungsdaten zur Beeinflussung des Betriebs der ersten Einrichtung (1; 1'; 
1", 15) als erste Oberwachungsreaktion ausgebildet ist, 
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die Datenzentrale (2; 2') zur Obertragung erster Daten an die erste Einrichtung 
(1; V; 1") ausgebildet ist, wobei die ersten Daten die Betriebsbeeinflussungsda- 
ten umfassen, und 

- die erste Einrichtung (1; V; 1") eine Betriebsbeeinflussungseinrichtung (6; 10; 
15.1) zur Beeinflussung des Betriebs der ersten Einrichtung in Abh3ngigkeit von 
den Betriebsbeeinflussungsdaten aufweist. , 

Anordnung nach Anspruch 32, dadurch gekennzeichnet, dass 

die erste Einrichtung (1; V\ 1") eine erste Sicherheitseinrichtung (1.2; 1.2'; 1.2") 
umfasst, die zum Verifizieren der die Betriebsbeeinflussungsdaten umfassenden 
ersten Daten ausgebildet ist und 

die Betriebsbeeinflussungseinrichtung (6; 10; 15.1) zur Beeinflussung des Be- 
triebs der ersten Einrichtung (1; V\ 1", 15) in Abhangigkeit vom Ergebnis der Ve- 
rifizierung ausgebildet ist. 

Anordnung nach einem der AnsprQche 29 bis 33, dadurch gekennzeichnet, dass die 
Analyseeinrichtung (2.4) zur BerOcksichtigung weiterer, nicht von der ersten Einrich- 
tung Qbermittelter Daten ausgebildet ist. 

Mobile erste Einrichtung, insbesondere Fahrzeug, fOr eine Anordnung nach einem 
der AnsprQche 17 bis 34, gekennzeichnet durch eine erste DatenObertragungsein- 
richtung (1.1; 1.1'; 1.1") zur Obertragung erster Daten und eine mit der ersten Daten- 
Gbertragungseinrichtung (1.1; 1.1'; 1.1") verbindbare erste Sicherheitseinrichtung 
(1.2; 1.2'; 1.2"), die zum Generieren eines die ersten Daten darstellenden ersten Da- 
tensatzes und zum Authentifizieren der ersten Daten durch kryptographische Mittel 
ausgebildet ist. 

Mobile erste Einrichtung nach Anspruch 35, dadurch gekennzeichnet, dass die erste 
Sicherheitseinrichtung (1.2; 1.2'; 1.2") zur Authentifizierung der ersten DatenQbertra- 
gungseinrichtung (1.1; 1.1'; 1.1") zum Einbringen einer der ersten DatenQbertra- 
gungseinrichtung (1.1; 1.1'; 1.1") zugeordneten Identifikation in den ersten Datensatz 
ausgebildet ist. 

Datenzentrale fur eine Anordnung nach einem der AnsprQche 17 bis 34, gekenn- 
zeichnet durch eine DatenQbertragungseinrichtung (2.1) zur Obertragung erster Da- 
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ten und eine mit der DatenQbertragungseinrichtung (2.1) verbindbare zweite Sicher- 
heitseinrichtung (2.2), die zum Generieren eines die ersten Daten darstellenden ers- 
ten Datensatzes und zum Authentifizieren der ersten Daten durch kryptographische 
Mittel ausgebildet ist. 
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Zusammenfassung 

Verfahren zum Gbertragen von Daten zwischen einer mobilen ersten Einrichtung (1; 1'; 1"), 
insbesondere einem Fahrzeug, und einer von der ersten Einrichtung (1; 1'; 1") zumindest 
zeitweise entfernten Datenzentrale (2; 2'), wobei die Dbertragung der Daten fiber wenigstens 
5 eine mobile erste Obertragungseinrichtung (1.1; 1.1'; 1.1") erfolgt und die ubertragepen Da- 
ten erste Daten umfassen, die durch kryptographische Mittel authentifiziert werden. 

Figur 1 
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